Развиваемый под эгидой организации Linux Foundation проект Let’s Encrypt, нацеленный на создание простого, общедоступного и контролируемого сообществом удостоверяющего центра, объявил о создании корневого и промежуточного сертификатов, а также сертификатов, которые будут использоваться для формирования цифровых подписей для других сертификатов. Запуск сервиса запланирован на середину 2015 года, более точно дата старта будет объявлена в течение нескольких недель. В настоящее время открытые ключи для корневого и промежуточных сертификатов уже доступны для загрузки.

Для подписи пользовательских сертификатов будут применяться промежуточные сертификаты, которые кроме подписи корневым сертификатом Let's Encrypt также перекрёстно подписаны организацией IdenTrust. С одной стороны такой подход позволяет обезопасить корневой сертификат и напрямую его не использовать, разместив в offline-хранилище. С другой стороны, перекрёстное утверждение даст возможность принимать сертификаты Let's Encrypt в уже выпущенных браузерах до того, как информация о корневом сертификате Let's Encrypt будет добавлена браузерами в список заслуживающих доверия сертификатов. В настоящее время сгенерированы только RSA-ключи, в дальнейшем планируется создание и ключей ECDSA. Для хранения сертификатов задействован аппаратный HSM-модуль, отвечающий всем требованиям по защите ключей в удостоверяющих центрах.

Проект Let's Encrypt основан при участии Electronic Frontier Foundation (EFF), Mozilla, Cisco, Akamai, Automattic, Identrust и Мичиганского университета, которые объединили свои усилия в области повышения безопасности Сети через повсеместное внедрение HTTPS. Для достижения данной цели планируется снять барьеры при получении SSL-сертификатов, сделав процедуру бесплатной, предельно простой и лишённой бюрократических проволочек при проверке владельца. Все операции по генерации и отзыву сертификатов будут проводиться публично и будут доступны для независимого инспектирования сообществом.

Для прохождения верификации перед получением сертификата достаточно будет продемонстрировать контроль над доменом через создание специальной записи на DNS-сервере или путём размещения файла с ключом на web-сервере. Все операции будут автоматизированы, на web-сервере можно будет запустить специальный скрипт, который сам выполнит обратную проверку и на выходе предоставит готовые сертификаты и инструкцию по их подключению. Операции по получению, настройке и обновлению сертификатов будут проводиться с использованием протокола ACME, которому планируется придать статус открытого стандарта (RFC). Для тестирования доступны инструментарий для серверов на базе Apache, компоненты удостоверяющего центра, а также клиентские и серверные модули для Node.js

Источник: http://www.opennet.ru/opennews/art.shtml?num=42379