HTTPS pre v┼íetk├Żch: Za┼íifrujme vydan├║ miliardu vydan├Żch certifik├ítov


zv├Ą─Ź┼íi┼ą / ┼áifrovan├í komunik├ícia pre┼íla z ÔÇ×iba ak je to d├┤le┼żit├ęÔÇť na ÔÇ×pokia─ż nie ste neuverite─żne leniv├şÔÇť za ┼ítyri kr├ítke roky – a za to si ┼áifrovanie zasl├║┼żi ve─ża z├ísluh.

Po─Ćme za┼íifrova┼ą, bezplatn├í autorita podpisovania certifik├ítov skupiny pre v├Żskum zabezpe─Źenia internetu, vydala svoj prv├Ż certifik├ít pred viac ako ┼ítyrmi rokmi. Dnes vydala svoju miliardtinu.

Cie─żom ISRG pre Let's Encrypt je prinies┼ą webu na 100% mieru ┼íifrovania. Ke─Ć sme spustili program Encrypt v roku 2015, my┼ílienka bola dos┼ą otvoren├í – v tom ─Źase bola ┼íifrovan├í trochu viac ako tretina v┼íetkej webovej prev├ídzky, pri─Źom zvy┼íok bol oby─Źajn├Ż text HTTP. Existuj├║ v├Żznamn├ę prek├í┼żky pri prij├şman├ş HTTPS – na jednej strane to stoj├ş peniaze. A ─Źo je d├┤le┼żitej┼íie, stoj├ş to zna─Źn├ę mno┼żstvo ─Źasu a ─żudsk├ęho ├║silia, ktor├ę s├║ obe obmedzen├ę.

Po─Ćme ┼íifrova┼ą vyrie┼íi┼ą pe┼ła┼żn├║ bari├ęru poskytovan├şm svojich slu┼żieb zadarmo. D├┤le┼żitej┼íie je, ┼że vytvoren├şm stabiln├ęho protokolu na ich pr├şstup umo┼żnil Electronic Frontier Foundation vytv├íra┼ą a poskytova┼ą Certbot, otvoren├Ż zdrojov├Ż, vo─żne pou┼żite─żn├Ż n├ístroj, ktor├Ż automatizuje proces z├şskavania certifik├ítov, ich in┼ítal├ície, konfigur├ície webov├Żch serverov na ich pou┼żitie. a ich automatick├í obnova.

Spravovanie protokolu HTTPS tradi─Źn├Żm sp├┤sobom

Ke─Ć sa za─Źnime ┼íifrovanie v roku 2015, certifik├íty overen├ę dom├ęnou by mohli by┼ą k dispoz├şcii u┼ż za $9/ rok – ale ─Źas a ├║silie potrebn├ę na ich udr┼żiavanie bol in├Ż pr├şbeh. Je potrebn├ę zak├║pi┼ą certifik├ít, inform├ície je potrebn├ę vyplni┼ą nieko─żk├Żmi formul├írmi, potom by sa mohlo ─Źaka┼ą nieko─żko hod├şn, k├Żm sa vydaj├║ aj lacn├ę certifik├íty validovan├ę pre dom├ęnu.

Po vydan├ş certifik├ítu bolo potrebn├ę tento certifik├ít (a jeho k─ż├║─Ź a v┼íetky potrebn├ę re┼ąazov├ę certifik├íty) stiahnu┼ą, potom presun├║┼ą na server, potom umiestni┼ą do spr├ívneho adres├íra a nakoniec webov├Ż server mohol by┼ą znova nakonfigurovan├Ż na SSL.

Na ┼íiroko pou┼ż├şvanom webovom serveri Apache m├┤┼że vyzera┼ą ─Źas┼ą konfigur├ície SSL samotn├í!

     SSLEngine on
     SSLCertificateFile         /etc/apache2/certs/sitename.crt
     SSLCertificateChainFile    /etc/apache2/certs/sitename.ca-bundle
     SSLCertificateKeyFile      /etc/apache2/certs/sitename.key
     SSLCACertificatePath       /etc/ssl/certs/

     # intermediate configuration, tweak to your needs
     SSLProtocol all -SSLv3
     SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA
     SSLHonorCipherOrder on
     SSLCompression off

     # OCSP Stapling, only in httpd 2.3.3 and later
     #SSLUseStapling on
     #SSLStaplingResponderTimeout 5
     #SSLStaplingReturnResponderErrors off

     # HSTS (mod_headers is required) (15768000 seconds = 6 months)
     Header always set Strict-Transport-Security "max-age=15768000"

┼Żiadna z t├Żchto konfigur├íci├ş nebola vykonan├í za v├ís. V skuto─Źnom svete sa zdesilo mno┼żstvo konfigur├ície n├íkladu a kult├║ry prostredn├şctvom vystrihnutia a vlo┼żenia z prv├ęho miesta, ktor├ę tvrdilo, ┼że pon├║ka pracovn├║ sadu konfigur├íci├ş.

Ak by sa nesk├║sen├Ż spr├ívca h├ídal zle, ke─Ć h─żadal nie─Źo na kop├şrovanie a prilepenie – alebo sk├║senej┼í├ş spr├ívca bol nedbal├Ż a nev┼íimol si, ke─Ć sa zmenili ┼ítandardy – neistota vo forme zl├Żch protokolov a argumentov ┼íifry by sa tie┼ż mohla ─żahko vkradn├║┼ą.

Ka┼żd├ę jeden a┼ż tri roky budete musie┼ą urobi┼ą cel├║ vec znova – mo┼żno len v├Żmenu certifik├ítu a k─ż├║─Źa, pr├şpadne aj nahradenie alebo pridanie nov├Żch certifik├ítov stredn├ęho re┼ąazca.

Cel├í vec bola (a je) ├║primne povedan├ę, neporiadok … a m├┤┼że ─żahko vy├║sti┼ą do prestojov, ak postup, ktor├Ż sa zriedka praktizuje, nebe┼ż├ş hladko.

Správa protokolu HTTPS pomocou šifrovania a certifikácie

Pri odstra┼łovan├ş n├íkladov a vytv├íran├ş stabiln├ęho a spo─żahliv├ęho protokolu odstr├ínil Let's Encrypt tie┼ż v├Żrazn├ę prek├í┼żky automatiz├ície. EFF sa zapojil do poskytovania automatiz├ície koncov├Żm pou┼ż├şvate─żom a spr├ívcom s Certbot, jedn├Żm z najpopul├írnej┼í├şch sp├┤sobov riadenia z├şskavania, in┼ítal├ície a obnovovania certifik├ítov Let's Encrypt.

V syst├ęme Ubuntu 18.04 alebo nov┼íom s├║ certifik├íty EFF a jej r├┤zne doplnky dostupn├ę v hlavn├Żch syst├ęmov├Żch ├║lo┼żisk├ích. M├┤┼że sa nain┼ítalova┼ą pomocou dvoch pr├şkazov shellu – jedn├Żm, ak ste ochotn├ş trochu rozmazn├íva┼ą a pou┼ż├şva┼ą bodko─Źiarku:

    [email protected]:~# apt update ; apt install -y python3-certbot-apache
  • Ak pou┼ż├şvate webov├Ż server Apache, spustite certbot –apache. Nginx? certbot –nginx. To je v┼íetko.

    Jim Salter

  • V┼íetky nakonfigurovan├ę webov├ę str├ínky sa zobrazia v ponuke a vy si m├┤┼żete vybra┼ą ktor├ęko─żvek alebo v┼íetky z nich, ktor├ę chcete pou┼żi┼ą na aktualiz├íciu, pomocou programu Po─Ćme ┼íifrova┼ą.

    Jim Salter

  • Rukou som p├şsal konfigur├ície na presmerovanie HTTP na HTTPS na mojich webov├Żch serveroch. Nebolo to ┼ąa┼żk├ę, ale bolo to ├║navn├ę a nestalo sa to v┼żdy. Certbot to urob├ş za v├ís.

    Jim Salter

  • To je v┼íetko. Hotovo a va┼íe str├ínky s├║ teraz spr├ívne nakonfigurovan├ę pre protokol HTTPS.

    Jim Salter

Ak tak urob├şte, jeden pr├şkaz aktivuje Certbot. Pri interakcii s jednoduch├Żm syst├ęmom pon├║kania oby─Źajn├ęho textu z├şskava certifik├íty pre v┼íetky alebo v┼íetky va┼íe str├ínky, konfiguruje pre v├ís webov├Ż server (spr├ívne!) A prid├íva ├║lohu cron, aby automaticky obnovovala certifik├íty, ke─Ć u┼ż nie s├║ k dispoz├şcii. 30 dn├ş pred uplynut├şm platnosti. Cel├í vec trv├í dobre do piatich min├║t.

Certbot navy┼íe pon├║ka – ale nevy┼żaduje – automatick├║ konfigur├íciu webov├ęho servera tak, aby presmeroval po┼żiadavky HTTP na HTTPS. Je to tak├ę ─żahk├ę.

Poskytovanie s├║kromia a bezpe─Źnosti v mierke

V j├║ni 2017 mala spolo─Źnos┼ą Encrypt dva roky a sl├║┼żila jej desiatemu mili├│ntu certifik├ítu. Web pre┼íiel z pod 40% HTTPS na – v Spojen├Żch ┼ít├ítoch – 64% HTTPS a Let's Encrypt spravoval 46 mili├│nov webov├Żch str├ínok.

Dnes bol vydan├Ż mili├│ntinov├Ż certifik├ít Po─Ćme za┼íifrova┼ą, ktor├Ż obsluhuje 192 mili├│nov webov├Żch str├ínok a ─Źas┼ą internetu Spojen├Żch ┼ít├ítov je ┼íifrovan├Żch neuverite─żn├Żch 91 percent. Projekt to riadi takmer na rovnakom po─Źte zamestnancov a rozpo─Źte, ak├Ż mal v roku 2017 – z 11 zamestnancov na pln├Ż ├║v├Ązok a jedn├ęho dol├íra20,61 mili├│na rozpo─Źtu potom na 13 zamestnancov na pln├Ż ├║v├Ązok a $3Dnes rozpo─Źet vo v├Ż┼íke 0,35 mili├│na.

Ni─Ź z toho by nebolo mo┼żn├ę bez z├ív├Ązku automatiz├ície a otvoren├Żch ┼ítandardov. Pustili sme sa do toho, ak├ę ─żahk├ę je nasadenie a obnovenie certifik├ítov EFF Certbot – tento pr├şspevok je v┼íak mo┼żn├Ż len v─Ćaka tomu, ┼że sa Encrypt zameriava na ┼ítandardiz├íciu otvoren├ęho protokolu ACME, ktor├Ż m├┤┼że ktoko─żvek postavi┼ą, aby mohol fungova┼ą.

Okrem vytv├írania a zverej┼łovania stabiln├ęho a schopn├ęho protokolu sa po─Ćme ┼íifrova┼ą, aby sme ho predlo┼żili a ratifikovali s pracovnou skupinou pre internetov├ę in┼żinierstvo (IETF), ─Źo m├í za n├ísledok RFC 8555.

závery

V skuto─Źnosti u┼ż nie je ve─ża ospravedlnenia neposkytova┼ą pou┼ż├şvate─żom bezpe─Źn├║ komunik├íciu medzi koncov├Żmi bodmi (a autentifikovan├║!) Z webov├Żch str├ínok pou┼ż├şvate─żom. Po─Ćme ┼íifrova┼ą, jeho protokol ACME a l├ęgiu klientov, ktor├ş sa objavili na u─żah─Źenie jeho pou┼żitia – vr├ítane, ale nielen, certifik├ície -, zjednodu┼íili konfigur├íciu a nasadenie protokolu HTTPS.