Let’s Encrypt начал выпуск wildcard-сертификатов

Отличная новость для системных администоров и всего интернета. Let’s Encrypt начал поддерживать выпуск wildcard-сертификатов. Что это значит?

Сертификаты безопасности (SSL/TLS-сертификаты) — магический математический артефакт. Он защищает сайты двумя способами: 1. шифрует соединение читателей с сайтом в интернете, так что никто* не может подсмотреть, какие страницы открывает человек или данные он передает через формы сайта 2. позволяет подтвердить**, что между сайтом и читателем не влез злоумышленник, который меняет часть сообщений на другие, например, без SSL злоумышленник мог бы перехватить и изменить ваше банковское поручение.

Система безопасности сейчас построена так, что для создания (выпуска) сертификата нужна третья сторона, так называемый центр сертификации (Certificate Authority). Это бизнес и чуваки собирают деньги за каждый сертификат. Вдобавок, каждый выпуск сертификата это ручной процесс, благо он происходит раз в год или реже.

Несколько лет назад группа людей и организаций решили, что для общей безопасности нам нужно сделать выпуск сертификатов бесплатным и автоматизированным. И это сработало! Вот безумный график их роста (https://letsencrypt.org/stats/), а вот тут исследование показывает (https://arxiv.org/pdf/1611.00469.pdf), что 30% пользователей COMODO перешли на Let’s Encrypt.

Зачем нужны wildcard’ы?

Дело в том, что порой у сайтов есть много поддоменов. Как защитить эти сайты? Можно выпустить по отдельному сертификату для каждого этого поддомена. Так многие и делают, но есть ситуации, когда гораздо лучше заказать один wildcard сертификат, который можно использовать на любых поддоменах Медузы.

Раньше LE не умел выпускать wildcart-сертификаты, а теперь научился.

Это был один из последних*** сильных аргументов, чем коммерческие Certificate Authority лучше Let’s Encrypt.

* Ходят слухи, что у NSA есть способы
** У злоумышленников есть 101 способ обвести вас вокруг пальца. Математику мы делать научились, а интерфейсы, которые бы помогли не попасться на удочку мошенника — нет.
*** Есть ситуации, в которых сертификаты от LE не годятся, но если вы в этой ситуации — то скорее всего знаете, что делать.

Источник: https://t.me/ctodaily/588

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *