Hlavní navigace

Let's Encrypt se osamostatní, přejde na svůj vlastní kořenový certifikát

Petr Krčmář

Certifikační autorita Let's Encrypt oznámila, že v červenci přejde na svůj vlastní kořenový certifikát. Ten už je nějakou dobu dostatečně rozšířený a důvěryhodný. Pro autoritu je to cesta k samostatnosti.

Doba čtení: 2 minuty

Sdílet

Certifikační autorita Let's Encrypt oznámila, že od 8. července začne naostro používat svůj vlastní kořenový certifikát. Ten je už delší dobu důvěryhodný na většině platforem, takže je bezpečně možné jej začít používat. Počínaje zmíněným datem tak ACME klienti začnou při generování nových certifikátů dostávat mezilehlý certifikát podepsaný kořenem ISRG Root X1.

Od svého vzniku v roce 2015 používá autorita Let's Encrypt mezilehlý certifikát DST Root CA X3, který patří autoritě IdenTrust. Ta křížově podepsala (cross-sign) mezilehlé certifikáty Let's Encypt (v současnosti se používá X3), čímž mohla snadno vzniknout nová autorita podřízená autoritě již existující. Dobře to ukazuje následující schéma:


Tohle celé funguje, protože delegace důvěry funguje na základě jmen (common name, CN) certifikačních autorit. Důvěru mezilehlé autoritě Let's Encrypt Authority X3, která vám vystaví důvěryhodný koncový certifikát, může udělit zároveň autorita DST stejně jako ISRG. Záleží pak na vás jako na provozovateli serveru, který mezilehlý certifikát klientovi pošlete a zda má jeho vystavovatele mezi důvěryhodnými autoritami.

Let's Encrypt měl od začátku v plánu osamostatnění, což vyžaduje vytvoření vlastního kořenového certifikátu, splnění řady bezpečnostních podmínek a splnění podmínek auditu. Tento proces trvá nejméně dva roky a teprve poté se začnou kořenové certifikáty nové autority dostávat do nejrůznějších úložišť a aplikací.

Například do Firefoxu se nová certifikační autorita dostala s verzí 50 na konci roku 2016. Postupně se přidávaly další důležité platformy od Google, Apple, Microsoftu, Oracle, Blackberry a další. Nyní nastal podle zástupců projektu čas se postavit na vlastní kořeny.

Zda váš software důvěřuje novému kořeni se můžete přesvědčit na demonstračním webu. Ten už nový kořen důvěry nějakou dobu používá a pokud je vše v pořádku, měli byste se na stránku dostat bez chybové hlášky. V prohlížeči certifikátů ve vašem prohlížeči pak můžete vidět hierarchii certifikátů, na jejímž vrcholu je ISRG Root X1.


Pokud certifikáty od Let's Encrypt na svých serverech používáte, nemusíte pravděpodobně dělat vůbec nic. Jakmile se v průběhu července certifikáty obnoví, váš klient protokolu ACME si během procesu vyžádá také mezilehlý certifikát a dostane už nový, vystavený autoritou ISRG Root X1.

Pokud vaši klienti z nějakého důvodu používají staré aplikace, které nový kořen důvěry neznají, můžete stále ještě vynutit použití starého mezilehlého certifikátu od IdenTrust. Ten současný má platnost do 17. března 2021 a Let's Encrypt má v plánu si včas nechat vygenerovat nový, s platností do 29. září 2021. Den poté stejně vyprší kořenový certifikát IdenTrust, na kterém jsou tyto mezilehlé certifikáty závislé. To je zároveň nejzazší datum, do kterého budete muset přejít na nový kořen ISRG nebo úplně vyměnit autoritu.

Certifikační autorita Let's Encrypt vystavuje certifikáty zdarma a automatizovaně, v současné době ji využívá více než 160 milionů doménových jmen. Také díky tomu je dnes celosvětově více než 78 % stránek uživateli načteno pomocí šifrovaného protokolu HTTPS. Pokud chcete certifikát získat, doporučujeme nainstalovat klienta ACME.sh nebo Dehydrated.

(Zdroj: Let's Encrypt)