让我们加密吧!Let’s Encrypt 欲推免费HTTPS证书
作者: 日期:2017年07月10日 阅:5,981

Let’s Encrypt 计划在2018年1月推出免费通配HTTPS证书,让Web安全更简单,开销更低廉。

Let’s Encrypt 是成立于2014年的公益数字证书认证机构(CA),旨在强化并加速在线安全,一直以来都通过自动化的过程颁发免费 X.509 (TLS/SSL) 证书,让网站可通过加密HTTPS而非未受保护的HTTP协议访问。

自成立以来,Let’s Encrypt 已让极不安全的Web变得没那么危险了。

在博客文章中,乔西·奥斯,作为合作伙伴运营 Let’s Encrypt 的互联网安全研究小组(ISRG)执行理事,称该CA通过其免费自动化域验证(DV)认证API,保护了4700万域名的安全。

2015年12月 Let’s Encrypt 的服务上线以来,Web页面载入加密率从40%上升到了58%,对Web安全作出了巨大贡献。

Let’s Encrypt 在加速HTTPS采纳上成绩斐然,但其他组织也有所贡献。比如,亚马逊也为AWS客户提供免费证书。

从改变Web安全形态的意义上讲,Let’s Encrypt 的侧面影响也是很有价值的。在 Let’s Encrypt 之前,HTTPS难以部署,开销昂贵。如今,再没有借口不采用HTTPS。

Let’s Encrypt 提供 DV SSL 证书,而不是需要CA验证申请公司的公司验证(OV)或扩展验证(EV)证书。

我们大规模运营,而只要涉及任何形式的人工检查,就不可能规模化。

DV证书覆盖某个特定Web域名(example.com),仅此而已。通配DV证书覆盖域名及其下子域名(*.example.com),例如 api.example.com 或 bad.example.com。

域名及子域名使用单一证书及加密密钥组合,相对每个具体域名都有各自证书,在管理上要方便很多。但通配证书也不是每个场景都适用的。

对于集中托管的域名,通配证书非常有用;多个不同地方托管子域名,通配域名就是个错误选择了。

在多个位置保障私钥安全,必然比只需在一个地方维护其安全要困难,风险更大。

通配证书应能使 Let’s Encrypt 的服务对管理多个子域名的大公司更具吸引力。而免费的事实也将有所帮助——有些公司以每年数百美元的价格售卖通配证书。

这些高价售卖通配证书的公司会怎么看待 Let’s Encrypt 还不好说。

Let’s Encrypt 的证书每隔90天就要更新一次,但更新过程可通过脚本或服务自动化进行。

通配证书的到来,与 Let’s Encrypt ACME v2 协议的推出同步。ACME v2 将成为互联网工程任务组(IETF)标准,以便其他CA可与 Let’s Encrypt 系统更便捷地互操作。

相关阅读

加密全球Web的计划正在变成现实
数字证书已死:可扩展性和可信度是致命伤

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章