Мировой веб практически полностью перешёл на шифрованные соединения.
Чтобы защитить личные данные своих клиентов, сайты и веб-приложения шифруют пересылаемую информацию с помощью SSL-сертификатов.
Мы уже рассказывали о том, как настроить автоматический выпуск SSL-сертификата для защиты контента, передаваемого через CDN.
В этом посте расскажем об истории и причинах успеха самого популярного сегодня криптографического сертификата — Let’s Encrypt.
Интернет превратился в глобальный маркетплейс, в котором каждый пользователь хочет быть уверен в безопасности транзакций.
Для этого соединения между клиентом и сервером стали организовывать по протоколу HTTPS (где S означает Secure), используя SSL-сертификат, уникальную цифровую подпись веб-сайта.
SSL-сертификаты зашифровывают пароли, номера банковских карт, адреса электронной почты и другую информацию, которую клиенты вводят на сайте. Это придумано, чтобы злоумышленники не могли распознать конфиденциальные сведения при перехвате данных.
Кроме безопасной передачи информации и проведения финансовых операций, есть и другие веские причины использовать HTTPS для коммерческого успеха в онлайне.
С 2014 года соединение по HTTPS стало влиять на позицию сайта в поисковой выдаче Google. Таким образом, сайты с SSL-сертификатами стали получать преимущества при формировании результатов поисковых запросов.
Наличие HTTPS-протокола учитывается как полноценный фактор ранжирования. Таким способом Google заботится о своих пользователях: предупреждает их, что использовать данный сайт не рекомендуется, на нём могут «увести» персональные данные, пароли, информацию о банковских картах.
C 2017 года браузер Google Chrome начал помечать HTTP-сайты, которые не работают по HTTPS-протоколу, как незащищённые.
Значки в адресной строке показывают, есть ли у сайта сертификат безопасности, доверяет ли этому сертификату браузер и можно ли установить защищённое соединение с сайтом.
Почти каждый пятый клиент не завершает онлайн-транзакцию, опасаясь за свою безопасность из-за значка незащищённого соединения с интернет-магазином.
Смартфоны стали основным устройством для выхода в интернет. Ещё в 2015 году Google представила технологию Accelerated Mobile Pages (AMP) для ускорения мобильных страниц. Она позволяет при низкой скорости сети выполнить оперативную загрузку веб-страниц на мобильном устройстве. Технология работает только с сайтами, которые обслуживаются по HTTPS. Таким образом, использование HTTPS становится всё более важной частью оптимизации домена для смартфонов с помощью AMP.
Подобные ограничения всё чаще встречаются в новых версиях браузеров и веб-приложений, которые разрабатываются под HTTPS и не будут столь эффективными при работе с HTTP.
Let’s Encrypt (от англ. ‘давай зашифруем’) — это центр сертификации, позволяющий всем желающим получить бесплатные криптографические сертификаты X.509 для TLS (HTTPS) в полностью автоматическом режиме в пределах 30 секунд.
Идею Let’s Encrypt в конце 2012 года предложили два сотрудника компании Mozilla — Джош Аас и Эрик Рескорла.
Миссия проекта — сделать веб безопасным по умолчанию, упростив процедуру шифрования.
Сначала проект развивался в частном порядке, но в ноябре 2014 года был анонсирован публично, после чего получил широкую поддержку отраслевого сообщества. В настоящее время сервис управляется публичной организацией Internet Security Research Group (ISRG), в числе основных спонсоров проекта — Electronic Frontier Foundation (EFF), Mozilla Foundation, Akamai и Cisco Systems, также среди партнёров представлены известные центры сертификации. Проект реализуется на базе открытых стандартов.
В сентябре 2015 года Let’s Encrypt выпустил свой первый тестовый сертификат, а с декабря начал работать в режиме публичного бета-тестирования, к началу 2020 года выпустив более миллиарда сертификатов. Сегодня более 200 млн сайтов используют именно Let’s Encrypt.
Во-первых, Let’s Encrypt быстро стал популярен из-за того, что услугу начали автоматически предоставлять своим клиентам хостинг- и CDN-провайдеры. Во-вторых, сертификаты класса Domain Validation со сроком действия 90 дней бесплатны.
В итоге в феврале 2020 года Let’s Encrypt выпустил свой миллиардный сертификат.
В основе технологии лежит протокол Automated Certificate Management Environment, автоматизирующий процесс генерации всех необходимых ключей между клиентом и центром сертификации в рамках PKI.
Подробнее о технологиях, которые используются в Let’s Encrypt, читайте в обзорной статье Let’s Encrypt: An Automated Certificate Authority to Encrypt the Entire Web.
В 2015 году средняя годовая стоимость сертификата для одного домена среди пяти ведущих центров сертификации составляла около $178. Даже несмотря на появление в 2016 году бесплатной альтернативы в виде Let’s Encrypt, цены на платные сертификаты упали незначительно.
Причина в том, что Let’s Encrypt не планирует выпускать и бесплатно распространять сертификаты класса Organization Validation и Extended Validation Certificate, а также поддерживать wildcard-сертификаты (на случай неограниченного количества поддоменов).
Кроме стандартной проверки по домену, платные сертификаты поддерживают более тщательные проверки по организации (имя, местоположение и существование организации, связанной с доменом) и смешанные проверки (статус покупателя сертификата как юридического лица), в том числе проводимые человеком вручную.
Платные сертификаты рекомендуются для корпоративных сайтов, обрабатывающих конфиденциальные данные, и для платформ электронной коммерции, которые принимают платёжные реквизиты и личные данные клиентов онлайн.
Сами методы шифрования SSL-сертификатов, выпускаемых разными провайдерами, не различаются. Поэтому для небольших сайтов и блогов подойдёт и Let’s Encrypt, за три года превратившийся в веб-стандарт.
Выпустить сертификат можно только для активного ресурса. Если вы создали ресурс и он ещё активируется, то выпустить сертификат не получится.
Поскольку опция подключения SSL-сертификата стала очень популярной среди клиентов нашего CDN-сервиса, мы сократили время его выпуска до 15 минут.
Сертификат выписывается за минуту, но, чтобы он попал на все edge-серверы, требуется примерно 10–15 минут. Мы продолжаем работать над сокращением и этого времени.
О способах подключения самого популярного SSL-сертификата читайте в специальном разделе базы знаний.
Делайте загрузку сайтов и любого тяжёлого контента не только быстрой, но и безопасной с помощью EdgeЦентр CDN и бесплатного SSL-сертификата Let’s Encrypt.