Lets Encrypt ένα δισεκατομμύριο θετικά & αρνητικά

Lets Encrypt: Πριν από λίγο καιρό οι περισσότεροι ιστότοποι δεν ήταν ασφαλισμένοι με κρυπτογράφηση Security Layer Security (TLS). Γιατί το internet ξεκίνησε με HTTP αντί για HTTPS. Σήμερα λοιπόν, το 81% των ιστοσελίδων παγκοσμίως χρησιμοποιεί το πρωτόκολλο HTTPS Το συγκεκριμένο ποσοστό έχει φτάσει στο 91% στις ΗΠΑ.

Για αυτή την τεράστια αύξηση της ασφαλούς περιήγησης στο διαδίκτυο, οφείλουμε ένα μεγάλο ευχαριστώ στην Ομάδα Internet Security Research Group (ISRG) με το project τους Lets Encrypt.

Η Let’s Encrypt μόλις εξέδωσε το δισεκατομμυριοστό πιστοποιητικό ασφάλειας.

Lets Encrypt

“Η κρυπτογράφηση θα πρέπει να είναι προεπιλεγμένη για το διαδίκτυο”, δήλωσε ο Josh Aas, εκτελεστικός διευθυντής της ISRG και ανώτερος τεχνολόγος της Mozilla όταν δημιουργήθηκε αρχικά το Lets Encrypt project.

“Το διαδικτυακό τοπίο είναι ένας περίπλοκος χώρος στις μέρες μας, και είναι πολύ δύσκολο για τους καταναλωτές να ελέγχουν τα δεδομένα τους. Η μόνη αξιόπιστη στρατηγική για να διασφαλιστεί ότι προσωπικά δεδομένα και πληροφορίες του καθενός από εμάς προστατεύονται κατά τη διάρκεια της περιήγησής μας στο διαδίκτυο είναι η κρυπτογράφηση.”

Εδώ θα πρέπει να αναφέρουμε ότι η Let’s Encrypt δεν παραχώρησε μόνο δωρεάν πιστοποιητικά TLS σε όλο τον κόσμο, αλλά έκανε και την χρήση τους πάρα πολύ εύκολη. Η αυτόματη διαδικασία έγινε δυνατή με το πρωτόκολλο ACME (Automatic Certificate Management Environment).

Το ACME σήμερα ένα πρότυπο IETF, RFC 8555 και αυτοματοποιεί τη δημιουργία πιστοποιητικών υποδομής δημοσίων κλειδιών (PKI), καθιστώντας δυνατή τη γρήγορη την δημιουργία εκατομμυρίων πιστοποιητικών ασφαλείας.

Χάρη στο ACME, η Let’s Encrypt εξυπηρετεί σήμερα σχεδόν 200 εκατομμύρια ιστοσελίδες με δύο νέους υπαλλήλους και μια αύξηση του προϋπολογισμού της κατά 28% από τον Ιούνιο του 2017.

Για να χρησιμοποιήσετε το ACME και να αποκτήσετε ένα πιστοποιητικό από την Let’s Encrypt, χρειάζεστε ένα ACME client. Ένας από τους καλύτερους ACME clients είναι το Certbot της EFF (Electronic Frontier Foundation).

Η EFF ανέπτυξε το Certbot για να καταστήσει όσο το δυνατόν πιο εύκολο την ασφάλιση μιας ιστοσελίδας με την Lets Encrypt ή οποιαδήποτε άλλη CA που υποστηρίζει το ACME.

Ωστόσο, όσο εύκολο είναι για τον καθένα από εμάς να εκδώσουμε ένα πιστοποιητικό ασφαλείας για μια σελίδα μας, άλλο τόσο είναι και για τους κακόβουλους χρήστες, που προσπαθούν να πλασάρουν “πειραγμένες” σελίδες σαν ασφαλείς.

Με την αυτοματοποίηση των πιστοποιητικών TLS, η Let’s Encrypt φέρεται να διευκολύνει ουσιαστικά τους κακόβουλους χρήστες που θέλουν να πλασάρουν “ασφαλείς” ιστοσελίδες. να αποκτήσουν ασφαλείς τοποθεσίες. Για παράδειγμα, hackers κατάφεραν να παραποιήσουν πιστοποιητικά για να βοηθήσουν στην απόκρυψη κακόβουλων ιστοσελίδων σαν σελίδων που προέρχονται από μεγάλες εταιρείες όπως τις Apple, Google και PayPal γιατί κάθε ιστότοπος μπορεί να αποκτήσει ένα πιστοποιητικό TLS.

Με λίγα λόγια: επειδή μπορείτε να συνδεθείτε σε έναν ιστότοπο με ασφάλεια δεν σημαίνει ότι ο ίδιος ο ιστότοπος είναι ασφαλής.

Έτσι η Let’s Encrypt εργάζεται αυτή τη στιγμή για τη περαιτέρω βελτίωση της ποιότητας της ασφάλειας του.

Για παράδειγμα πρόσφατα ενίσχυσε τις μεθόδους επικύρωσης των domains. Είναι μια διαδικασία που χρησιμοποιούν όλες οι αρχές πιστοποιητικών TLS για να διασφαλίσουν ότι αυτός που ζητάει κάποιο πιστοποιητικό, είναι πραγματικά ο ιδιοκτήτης του domain για το οποίο το επιθυμεί.

Παρά όμως το πρόβλημα που αναφέραμε παραπάνω η Let’s Encrypt (μια μη κερδοσκοπική εταιρεία) φαίνεται να έχει κάνει πολύ καλή δουλειά στο παγκόσμιο διαδίκτυο.

How useful was this post?

Click on a star to rate it!

Average rating / 5. Vote count:

No votes so far! Be the first to rate this post.

Αφήστε ένα Σχόλιο

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *