Hlavní navigace

Let's Encrypt je ve Firefoxu 50 důvěryhodný

Petr Krčmář 16. 11. 2016

Vyšel nový Firefox 50, který z uživatelského hlediska nepřinesl nic převratného. Pro Let's Encrypt je ale zásadní, protože autorita má konečně vlastní kořen mezi důvěryhodnými.

Včera byl vydán Firefox 50, se kterým se certifikační autorita Let's Encrypt stává důvěryhodnou. Její kořen byl přidán do výchozí instalace, takže uživatelé s novým Firefoxem už přímo důvěřují autoritě Let's Encrypt. Na plošnou výměnu mezilehlých certifikátů je ještě brzy, protože podobný krok musí udělat i tvůrci dalších prohlížečů, přesto je tato novinka pro autoritu podstatná.

Aby mohla začít autorita vydávat důvěryhodné certifikáty, musela se dohodnout se společností IdenTrust, která jí vystavila mezilehlý certifikát (cross-signing) na jméno „Let’s Encrypt Authority X3“. Z něj jsou pak odvozeny koncové certifikáty pro server. Protože drtivá většina klientů dnes obsahuje kořenový certifikát „DST Root CA X3“ vydaný právě společností IdenTrust, důvěřují přes mezilehlý certifikát i koncovému certifikátu.

Aby se mohl Let's Encrypt osamostatnit, musí projít certifikační procedurou, která mu umožní dostat do koncových zařízení svůj vlastní kořenový certifikát „ISRG Root X1“. Z něj je odvozen jiný mezilehlý certifikát na už zmíněné jméno „Let’s Encrypt Authority X3“. Pokud tedy klienti znají oba kořeny (IdenTrust i Let's Encrypt), může správce serveru poslat libovolný z těchto mezilehlých certifikátů a obě cesty budou důvěryhodné.

Současný stav ve Firefoxu 50, důvěryhodné jsou obě cesty

Mozilla začlenění nového kořene přislíbila už před několika měsíci a nyní se skutečně dostává k uživatelům s Firefoxem 50. Následovat by měli také další tvůrci prohlížečů, kteří považují Mozillu za autoritativní zdroj a obvykle její důvěryhodné autority přebírají. Dalších novinek bychom se tedy měli snad dočkat poměrně brzy.

Samozřejmě jsem hned Firefox 50 s výchozím seznamem autorit vyzkoušel. Na jedné doméně jsem vyměnil mezilehlý certifikát za ten, který je vydán přímo z kořene Let's Encrypt. Starší verze prohlížeče považovala koncový certifikát za nedůvěryhodný, protože kořen neznala.

Server poslal mezilehlý, ale prohlížeč nezná jeho vydavatele

Po aktualizaci na Firefox 50 skutečně v databázi důvěryhodných autorit přibyla nová položka.

Kořen Let's Encrypt je tam

Poté už se stal serverový certifikát důvěryhodným, protože se stal důvěryhodným jeho nadřazený mezilehlý certifikát.

Stejná situace, jen prohlížeč už si správně přiřadil známý kořen

Jakmile se tímto způsobem kořen rozšíří do většiny zařízení, bude se moci autorita zcela zbavit mezilehlého certifikátu od IdenTrustu. Tím zmizí potenciálně nebezpečná závislost na jiném subjektu a Let's Encrypt bude zcela samostatnou entitou.

Našli jste v článku chybu?

16. 11. 2016 15:37

Umí ec-256 (prime256v1, "ECDSA P-256") a ec-384 (secp384r1, "ECDSA P-384"), například přes acme.sh takto:
acme.sh --issue -w /home/wwwroot/e­xample.com -d example.com -d www.example.com --keylength ec-256
acme.sh --issue -w /home/wwwroot/e­xample.com -d example.com -d www.example.com --keylength ec-384

ec-521 (secp521r1, "ECDSA P-521") zatím není podporováno. Více na https://acme.sh



16. 11. 2016 15:38

Podepsat ECDSA klíče umí od února a mají v plánu dokonce vydat své mezilehlé podepsané pomocí ECDSA. Certifikáty se tím výrazně zmenší. Až to bude, určitě to otestuji v praxi a bude další článek.

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

DigiZone.cz: NG natáčí v Praze seriál o Einsteinovi

NG natáčí v Praze seriál o Einsteinovi

Vitalia.cz: Říká amoleta - a myslí palačinka

Říká amoleta - a myslí palačinka

Vitalia.cz: „Připluly“ z Německa a možná obsahují jed

„Připluly“ z Německa a možná obsahují jed

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Vitalia.cz: Jmenuje se Janina a žije bez cukru

Jmenuje se Janina a žije bez cukru

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Lupa.cz: Proč firmy málo chrání data? Chovají se logicky

Proč firmy málo chrání data? Chovají se logicky

Měšec.cz: Jak vymáhat výživné zadarmo?

Jak vymáhat výživné zadarmo?

Lupa.cz: Insolvenční řízení kvůli cookies? Vítejte v ČR

Insolvenční řízení kvůli cookies? Vítejte v ČR

Podnikatel.cz: Chtějte údaje k dani z nemovitostí do mailu

Chtějte údaje k dani z nemovitostí do mailu

Vitalia.cz: 9 největších mýtů o mase

9 největších mýtů o mase

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

DigiZone.cz: ČRo rozšiřuje DAB do Berouna

ČRo rozšiřuje DAB do Berouna

Podnikatel.cz: Podnikatelům dorazí varování od BSA

Podnikatelům dorazí varování od BSA

Lupa.cz: Propustili je z Avastu, už po nich sahá ESET

Propustili je z Avastu, už po nich sahá ESET

Měšec.cz: Golfové pojištění: kde si jej můžete sjednat?

Golfové pojištění: kde si jej můžete sjednat?

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!