Проект Let’s Encrypt объявил о начале публичного бета-тестирования. Теоретически, теперь любой желающий сможет бесплатно получить HTTPS-сертификат для любых подконтрольных доменов. Сертификаты от Let’s Encrypt принимаются большинством современных браузеров (за счет перекрестной подписи от IdenTrust, присутствующего в списках доверенных сертификатов).
Пока не очень понятно, как это всё работает на практике. Похоже, что для выпуска сертификата нужно использовать специальное ПО, которое работает в разных режимах. В том числе ПО может быть установлено на веб-сервере, где, работая с привилегиями root, может полностью автоматизировать получение, обновление и подключение сертификата к веб-серверу Apache. Есть и ручной режим.
Сертификаты выпускаются на короткий срок (кажется, 90 дней). Это сделано по двум причинам: (1) чтобы снизить рискм при утечках (2) чтобы заставить сисадминов автоматизировать процесс выпуска и замены сертификатов.
Let's Encrypt - проект Internet Security Research Group, которая является public benefit organization (что бы это ни значило). Основными спонсорами проекта являются Electronic Frontier Foundation (EFF), Mozilla Foundation, Akamai и Cisco Systems. Партнерами являются удостоверяющий центр IdenTrust, Университет Мичигана, Stanford Law School и Linux Foundation.
Добавить 10 комментариев
> Сертификаты выпускаются на короткий срок (кажется, 90 дней).
Почти все центры сертификации выдавали и выдают уже десятки лет бесплатно SSL-сертификаты на 90 дней. По сути Let’s Encrypt — это PR-ход.
У меня уже есть несколько их сертификатов еще с закрытой беты.
Получение сертификата сделано достаточно удобно. Автоматизировать тоже несложно.
В ArchLinux уже есть в репозитории нужный клиент.
В Debian experimental тоже (при желании оттуда его можно пересобрать под обычные Debian/Ubuntu), хотя это скорее вопрос временный и думаю, что скоро появятся готовые пакеты подо все популярные ОС.
Единственное — для получения сертификата сервер обязательно должен смотреть наружу, что не всегда удобно (особенно если сертификат нужен для интранет-ресурса).
>выдают уже десятки лет бесплатно SSL-сертификаты на 90 дней
бесплатно — возможно — но не автоматически
> PR ход
Все кто дают бесплатные на 90 дней как раз пытаются привлечь клиентов к своим платным услугам.
Здесь же наоборот, технические требования: изначально планировали выдавать на месяц + 2 недели для решения технических проблем если таковые возникнут. Но «догнали» до 90 дней чтоб народ не смущать.
«А мужики-то не знают», что WoSign бесплатные сертификаты на 2 года раздает.
Я не пользовался WoSign, но пользовался startssl. И там множество ограничений: платный отзыв, максимум один домен и запрет использования сертификатов для коммерческих целей.
Здесь же полностью свободный CA. Хотите 100500 доменов в сертификате — пожалуйста, надо отозвать — отлично, хотите использовать в своем интернет-магазине — да без проблем.
DV-сертификаты (с проверкой по организации) обесценятся окончательно. OV (с проверкой по организации, но она видна только внутри самого сертификата) едва отличимы от DV.
Приходит время EV (с зеленой адресной строкой и названием компании). Они и раньше были эффективнее DV&OV с точки зрения маркетинга, а теперь у каждого сайта будет стоять DV. У фишингового или у реального — все одинаковые ) От фишинга спасет только EV.
У WoSign в одном сертификате может быть до 100 доменов. Не wildcard, но в 99% случаев подойдет.
Ели верить хабру, то с 18 сентября уже не может: http://habrahabr.ru/post/270681/
отзыв по работе с Let’s Encrypt
http://vitus-wagner.livejournal.com/1156067.html