Let's Encrypt

Pojem „hardening“ lze do českého jazyka přeložit jako „zodolnění“, „vyztužení“ nebo „zesílení“. Dnes si ukážeme, jak nastavit populární webový server Apache tak, aby splňoval moderní bezpečnostní standardy.

Drtivá většina klientů ověřuje certifikáty u Let's Encrypt pomocí HTTP. Někdy ovšem tuhle možnost nechceme či nemůžeme použít, pak přichází na řadu validace pomocí DNS. Popíšeme si postup na vlastní DNS infrastruktuře.

Klient Certbot od EFF pro správu HTTPS certifikátů Let's Encrypt vyšel v úterý ve verzi 1.0 a již tedy není označen jako beta. Certbot byl vydán v roce 2016 jako oficiální klient pro Let's Encrypt. Portál Certbotu najdete na nezměněné adrese.

Let's Encrypt provozuje vlastní log pro Certificate Transparency. Že to není maličkost, je jasné už z toho, že log zvládne zpracovat miliardu certifikátů ročně. Používá k tomu řadu otevřených technologií.

Certifikační autorita Let's Encrypt upozornila na to, že podle dat z Firefox Telemetry už je celosvětově načteno pomocí šifrovaného protokolu HTTPS více než 80 % webových stránek. Ve Spojených státech je to dokonce přes 88 %. Před třemi lety byla…

V rámci CA/Browser Fóra proběhlo hlasování, ve kterém byli všichni tvůrci prohlížečů pro, ale většina autorit hlasovala proti. Přesto některé zkrácení chystají. Od listopadu budou vydávat certifikáty na 397 dnů.

Prohlížeče přestanou během několika následujících týdnů zobrazovat informace o EV certifikátech. Ty se tak stanou na první pohled nerozeznatelnými od OV a DV certifikátů. Důvodů k této změně je několik.

Certifikační autorita Let's Encrypt představila vlastní log pro Certificate Transparency nazvaný Oak. Sponzorem této aktivity je Sectigo, což je nový název pro firmu známou pod jménem Comodo CA Limited. Let's Encrypt o projektu vlastního logu…

Certifikační autorita Let's Encrypt oznámila, že v červenci přejde na svůj vlastní kořenový certifikát. Ten už je nějakou dobu dostatečně rozšířený a důvěryhodný. Pro autoritu je to cesta k samostatnosti.

Protokol ACME prošel standardizací v IETF, výsledkem je standard zakotvený v RFC 8555. Umožní to jednodušší rozvoj ACME klientů a zároveň zjednoduší přechod mezi certifikačními autoritami, které budou pro komunikaci s klienty používat standardní…

Přibližně před rokem, 9. ledna 2018, byla objevena zranitelnost validační metody tls-sni-01 , používané k ověření držení doménového jména ve službě Let's Encrypt. Po objevení bezpečnostního problému byly validace touto metodou zablokovány pro…

Certifikační autorita Buypass spustila vydávání DV certifikátů zdarma a podporuje protokol ACME. Pomocí existujících nástrojů tedy můžete získat důvěryhodný TLS certifikát od jiné autority než Let's Encrypt.

Certifikační autorita Let's Encrypt zveřejnila výhled na letošní rok. Má v plánu několik novinek, jako jsou kořenové a mezilehlé ECDSA certifikáty, validace požadavků z více míst a spuštění vlastního CT logu.

Kořenový certifikát populární služby Let's Encrypt byl zařazen na seznam důvěryhodných certifikátů v produktech firmy Microsoft. Kromě toho je již důvěryhodný pro produkty Google, Apple, Mozilla, Oracle a Blackberry. Certifikáty od Let's Encrypt…

Let‘s Encrypt už nějakou dobu vystavuje wildcard certifikáty. Jejich vystavení je ale podmíněno validací přes DNS, která je poněkud pracnější než nejpoužívanější metoda ověření přes vystavení souboru do známé cesty na serveru.

V pondělí kolem 20:30 středoevropského letního času došlo k pozastavení registrace domény letsencrypt.org patřící stejnojmenné certifikační autoritě. Ve Whois databázi se objevil příznak clientHold, který se používá například při policejním…

Počínaje dnešním dnem už prohlížeč Chrome nebude považovat za důvěryhodné certifikáty, které nebyly zveřejněny v databázích Certificate Transparency (CT). Jedná se o opatření, které donutí všechny veřejné certifikační autority zveřejňovat veškeré…

Server NetTrack.info dlouhodobě sleduje řadu zajímavých statistik týkajících se webu a internetu. Mimo jiné měří také to, jaký je podíl jednotlivých certifikačních autorit vydávajících TLS certifikáty pro web. Dlouhodobý trend je jasný:…

Měsíc před termínem začala otevřená certifikační autorita Let's Encrypt přidávat důkaz o zveřejnění certifikátu v Certificate Transparency. Tato autorita už od svého začátku všechny vydané certifikáty aktivně posílá do logů Certificate…

Dlouho očekávaná funkce certifikační autority byla spuštěna 13. března. Pomocí nového standardizovaného API je možné získat i žolíkový certifikát. K ověření držení domény je však nutné použít DNS.

Počínaje dnešním dnem nesmí certifikační autority vydávat TLS certifikáty s délkou platnosti tři roky. Maximální délka platnosti DV a OV certifikátů se zkracuje na dva roky, stejně jako tomu je u EV.

Certifikační autorita Let's Encrypt původně plánovala spuštění protokolu ACMEv2 a vydávání wildcard certifikátů na 27. února. Nyní ale bylo oznámeno, že se tento termín posouvá přibližně o dva týdny. Hlavním důvodem jsou problémy s jedním z typů…

Služba Let's Encrypt od 9. ledna nepodporuje ověření žádosti o certifikát prostřednictvím metody tls-sni-01. Podle původního prohlášení provozovatelů měla být metoda pozastavena na 48 hodin, než se podaří zjednat nápravu u dotčených sdílených…

Let's encrypt má první větší bezpečnostní problém. Za určitých okolností bylo možné získat certifikát i pro cizí doménové jméno. Jak zareagovali a jakým způsobem hodlají situaci řešit?

Certifikační autorita Let's Encrypt hodlá v letošním roce opět zdvojnásobit počet aktivních certifikátů, uživatelům chce ale také představit novinky v podobě wildcard certifikátů a mezilehlého ECDSA certifikátu.

Napadlo vás někdy automatizovat vydávání certifikátů z vaší interní certifikační autority uvnitř vaší organizace? Co třeba využít stejný postup, jakým to dělá Let's Encrypt a protokol Acme, včetně všech výhod, které nabízí?

V dnešním díle si povíme jaká existuje podpora pro certifikáty Let's Encrypt ve firewallu pfSense. Popíšeme si postup, jak instalovat balíček ACME a jak nastavit naši doménu, tak abychom ve WebGUI mohli používat SSL certifikát.

Mozilla financovala vývoj modulu pro webový server Apache, který se tak brzy naučí přímo podporovat certifikáty od Let's Encrypt. Abyste své weby zpřístupnili po HTTPS, stačí přidat jednu konfigurační volbu.