Dzięki Let's Encrypt szyfrowanie stron będzie łatwiejsze i darmowe
Coraz więcej firm decyduje się na wdrożenie szyfrowania w transmisji internetowej, nawet na wielką skalę. Widać to choćby po wczorajszych zmianach w komunikatorze WhatsApp, który obecnie oferuje prawdziwie prywatne i bezpieczne rozmowy. Niestety, na szyfrowanie nie każdy może sobie pozwolić. Zostało to zauważone przez fundacje dbające o interesy internautów i postanowiono, że sytuacja ta musi ulec zmianie. Rozwiązaniem ma być Let’s Encrypt – nowy mechanizm certyfikacji, który będzie szybki i zupełnie darmowy, a więc w zasięgu każdego zainteresowanego.
Electronic Frontier Foundation (EFF) nawiązała współpracę z m.in. Mozillą, Cisco i Akamai w celu wprowadzenia oferty darmowych certyfikatów HTTPS/SSL. Rozwiązanie ma zostać wprowadzone już na początku przyszłego roku i zachęcać administratorów stron, do przechodzenia na transmisję szyfrowaną. Planowane jest wprowadzenie nowych, darmowych centrów certyfikacji (CA), a także mechanizmów, które ułatwią tworzenie certyfikatów, aktualizowanie ich i instalowanie. Zalążek nowego rozwiązania jest już dostępny w repozytorium GitHub, ale zdecydowanie nie zaleca się używania go w środowiskach produkcyjnych.
Let's Encrypt Demo
Na przygotowanym filmie, który pokazuje najnowsze rozwiązanie widać, że faktycznie jest ono bardzo proste w praktycznym zastosowaniu, przynajmniej w wypadku serwera Apache: administrator musi jedynie uruchomić aplikację, która automatycznie wyszuka skonfigurowane na serwerze strony, oraz doda do ich konfiguracji wymagane zapisy dotyczące szyfrowania. Co więcej, aplikacja zawiera także kreator, który umożliwia łatwe włączenie przekierowania z wersji HTTP na HTTPS. Gdyby certyfikat został skompromitowany, jego unieważnienie ponownie ogranicza się do jednego, bardzo prostego polecenia.
Oczywiście zdobyć i wykorzystać na swojej stronie odpowiedni certyfikat już teraz może w zasadzie każdy. Problem w tym, że zatwierdzone i wydawane przez główne urzędy certyfikaty kosztują, a sama procedura chwilę trwa i wymaga np. potwierdzenia posiadania danej domeny. Co prawda każdy może samodzielnie wygenerować certyfikat dla siebie, ale przy publicznej witrynie raczej odstraszy, a nie zachęci to użytkowników za sprawą wyraźnego ostrzeżenia w przeglądarce o tym, że jest on niezaufany. Dobry certyfikat wymaga z kolei cyklicznego opłacania, a w wielu przypadkach (choć nie dotyczy to samego certyfikatu) także dedykowanego adresu IP dla witryny, do której transmisja ma być szyfrowana.
Ta inicjatywa to nie jedyne działanie, którego zadaniem jest promowanie wdrażania transmisji szyfrowanych. Jakiś czas temu firma Cloudflare, oferująca serwery nazw w chmurze zdecydowała się na udostępnienie w darmowych planach rozwiązania „Universal SSL”. Dzięki niemu każdy administrator korzystający z tych DNSów może wdrożyć na swojej stronie szyfrowanie SSL, zupełnie bezpłatnie i nawet bez dedykowanego adresu IP. Rozwiązanie ma to jednak swoje wady, bo ze względu na stosowanie SNI (Server Name Indication) na takie strony nie wejdziemy z poziomu przeglądarki Chrome w systemie Windows XP, ani przy pomocy Opery 12.x, z której wciąż nieco osób korzysta. Biorąc jednak pod uwagę fakt, że tak stary system Microsoftu jak i archiwalna przeglądarka od Norwegów są już w zasadzie trupami, nie powinno to stanowić przeszkody dla zainteresowanych.
Czy szyfrowanie jest ważne? Zdecydowanie tak. Nie tylko poprawia bezpieczeństwo, bo pozwala na zabezpieczenie transmisji poufnych danych jak np. naszych danych logowania przed podsłuchem, ale na dodatek pozwala na przyśpieszenie działania stron – witryny korzystające z HTTPS mogą bowiem wykorzystać możliwości rozwijanego przez firmę Google protokołu SPDY, którego zalety można zobaczyć przede wszystkim przy połączeniach komórkowych. Amerykańska korporacja naciska natomiast coraz bardziej na szyfrowanie, jawnie przyznając, że takie strony otrzymują nieco lepsze wskaźniki w wyszukiwarce Google. Pamiętajmy o czymś jeszcze: certyfikaty nie ograniczają się jedynie do stron internetowych. Mogą być one wykorzystywane także w innych usługach jak np. FTP, XMPP czy serwer pocztowy.