Hlavní navigace

Let's Encrypt nabídne plné ECDSA, validaci z více bodů a vlastní CT log

Petr Krčmář

Certifikační autorita Let's Encrypt zveřejnila výhled na letošní rok. Má v plánu několik novinek, jako jsou kořenové a mezilehlé ECDSA certifikáty, validace požadavků z více míst a spuštění vlastního CT logu.

Doba čtení: 3 minuty

Sdílet

Otevřená certifikační autorita Let's Encrypt uzavřela loňský rok s 88 miliony platných certifikátů, které pokrývají 152 milionů doménových jmen. Denně autorita vystavuje přibližně milion certifikátů. Také díky tomu se daří postupně zvyšovat podíl webů, které uživatelé navštěvují pomocí šifrovaného protokolu HTTPS. Podle dat od Mozilly je dnes takto načteno 77 % stránek, zatímco před rokem to bylo 67 %.


Zdroj: Let's Encrypt stats

Počet domén s certifikátem od Let's Encrypt

Autorita nyní zveřejnila výhled na letošní rok a zmínila se o některých plánovaných novinkách. Počítá s dalším výrazným růstem, který odhaduje na 120 milionů aktivních certifikátů pokrývajících 215 milionů domén. Napomáhá tomu také podpora autority Let's Encrypt dostupná ve web serveru Apache, přičemž se předpokládá, že letos podobná funkce dorazí i do serveru Nginx.

Vlastní log Certificate Transparency

Certificate Transparency umožňuje autoritám zveřejňovat všechny vydané certifikáty. Prohlížeč Chrome od loňského roku zveřejnění používaných certifikátů vynucuje, jinak je nepovažuje za důvěryhodné. Ostatní tvůrci prohlížečů se plánují k této aktivitě přidat, ale už teď je to kvůli nejpoužívanějšímu prohlížeči nutnost a autority musejí být otevřené v tom, jaké certifikáty vystavují. Kdokoliv pak má možnost autority hlídat.

Projekt Let's Encrypt vnímá nedostatek kvalitních CT logů, ve kterých by bylo možné vystavované certifikáty zveřejnit. Na první čtvrtletí letošního roku proto plánuje spuštění vlastního logu, který bude otevřen všem veřejně uznávaným autoritám.

Ověření z více bodů

Dlouho slibovanou vlastností, která by měla být nasazena během letošního roku, je validace požadavků z více různých bodů. V současné době se oprávněnost požadavku na vystavení certifikátu kontroluje z jednoho bodu, ze kterého se ověří schopnost žadatele manipulovat s doménou. To je běžná praxe u mnoha certifikačních autorit.

Pokud ovšem útočník sedí na cestě mezi autoritou a serverem, může způsobit neoprávněné vystavení certifikátů. Zároveň přibývá únosů v BGP, které ještě dlouho nebude dostatečně zabezpečeno. Řešením je komunikace s cílovým serverem z několika různých zdrojů – tedy různých autonomních systémů (AS).

To útočníkovi významně komplikuje práci, protože by pak musel unést několik různých cest nebo ve stejnou chvíli obsadit několik bodů v komunikační cestě. Vývoj řešení probíhá společně s Princetonskou univerzitou a část je ho už nasazena v testovacím prostředí Let's Encrypt. Plné nasazení je plánováno na druhé čtvrtletí letošního roku.

Plné ECDSA

Let's Encrypt už dlouho umožňuje vystavit koncový certifikát obsahující veřejný ECDSA klíč používající eliptické křivky. Takový certifikát je ale stále podepsán pomocí klasického mezilehlého RSA certifikátu a rovněž kořenové certifikáty na vrcholu řetězce používají velké RSA klíče.

Autorita by měla letos konečně vystavit kořenové i mezilehlé ceritifikáty využívající moderních algoritmů ECDSA. Bude pak možné nasadit eliptické křivky v celém řetězci od kořene přes mezilehlý certifikát, až po koncový. Dočkat bychom se měli ve třetím čtvrtletí letošního roku.

Současná infrastruktura

Roční provoz takové autority stojí více než 3 miliony dolarů a vyžaduje 55 jednotek obsazených ve dvou datacentrech: servery, úložiště, HSM a síťové prvky. Denně autorita vystaví milion certifikátů, 40 milionů OCSP potvrzení a odpoví na 5,5 miliard dotazů. Zároveň se předpokládá, že tato čísla během roku vyrostou o dalších 40 %.

Největšími (platinovými) sponzory jsou společnosti Cisco, OVH, Mozilla, Google Chrome, Electronic Frontier Foundation a Internet Society, ke kterým se přidává celá řada menších dárců včetně jednotlivců. Ti svými dary umožňují běh největší současné certifikační autority, která vystavuje certifikáty zdarma.