Welche Probleme versuchen wir zu lösen?
- Die HTTPS Verbreitung im Internet ist noch zu gering
- Diese Zahlen sollten bei 100% liegen
Sicherheit ist wichtig...
- Vertraulichkeit: Spionage verhindern
- Privacy: eingeschleuste Tracking Cookies verhindern
- Integrität: eingeschleuste Werbung verhindern
- Authentizität: Die Kommunikation zur echten Seite sicherstellen und unfreiwillige Teilnahme an DDoS ausschließen
... aber ein Zertifikat zu erhalten ist schwierig
- Manueller Prozess, unterschiedlich bei jedem Anbieter
- Als erstes muss sich für Zertifikate beworben werden...
- ... dann folgt die oft komplizierte Installation
- Können wir das alles nicht einfach automatisieren?
Eine neue Zertifizierungsstelle
- Kostenlos
- Automatisiert
- Transparent
- Offen
- Kooperativ
Ein automatisches CA
- Die meiste Arbeit der Zertifizierung ist das Verifizieren der Domain Eigentümer
- Let's Encrypt nutzt ein Standard Protokoll um die Kontrolle über eine Domain automatisch zu verifizieren
Automatische Zert. Management Umgebung
Automated Certificate Management Environment (ACME)
- Angenommen jemand möchte ein Zertifikat für example.com
- Wie stellt man sicher das er auch im Besitz von example.com ist?
Domain Validierung
Eine Aufgabe stellen die nur der Domain Eigentümer lösen kann:
- Einen DNS Eintrag für
_acme-challenge.example.com anlegen - Eine Datei unter
http://example.com/.well-known/acme-challenge/ bereitstellen - Einen TLS Server auf example.com einrichten
Automatisierte Validierung
- Der gesamte Prozess ist in der ACME Spezifikation beschrieben
- Wie um Autorisation fragen
- Wie sollen die Aufgaben erfüllt werden
- Wie soll nach dem Zertifikat gefragt werden
- Ein standart Protokoll ist die Grundlage für das erstellen von Tools
- Die Vision von ACME ist die künftig Integration in Webserver um HTTPS automatisch bereitzustellen
Ein transparentes CA
Alle Zertifikate sind öffentlich durch das Zert. Transparenz System protokolliert
Ein Offenes CA
Alles an Let's Encrypt ist Open-source:
- Die Software der Zertifikatstelle
- Die Software zur Erstellung eines Zertifikates
- Ebenso diese Präsentation!
"Pull requests" sind Wilkommen!
Eine Kooperative CA
- Das durch Let's Encrypt benutzte ACME Protokoll wird durch die IETF standardisiert so das es von allen CAs verwendet werden kann
- Hilfe durch Anwender wird durch ein Community Support System angeboten
Nur der Anfang...
- Let's Encrypt wird derzeit über die Untergeordnung einer bestehenden CA vertraut
- Eine Bewerbung für einen "Browser Trust" wurde eingereicht
- Ein echtes Zertifikat steht auf der demo Seite zur Ansicht
- ... oder direkt für das Beta Programm anmelden
- Allgemeine Verfügbarkeit Ende 2015
