知識&消息

2015年官方認可免費SSL提供說明

大家看到題目一定覺得這怎麼可能?免費的SSL提供給大家使用,的確!2015年在憑證界將有重大的事情發生,將會改變SSL憑證的生態,可能會一舉把SSL憑證變成網站必備的基本功能,這個計劃就叫做Let’s Encrypt(讓我們加密吧!),我們接下來好好說明一下!

從2015年開始,每個人將可以有機會可以得到官方認可的SSL憑證,且隨手可得!最重要的他還是免費的!ssl憑證將成為到處可見的應用,https將成為基本的網頁要求

由電子前鋒基金會(Electronic Frontier Foundation (EFF)), 摩及拉(Mozilla),密西根大學(University of Michigan), 網路設備商思科(Cisco)以及 and Akamai公司,一起發起的Let’s Encrypt(讓我們加密吧!)計畫,主要是要將SSL憑證推廣成家喻戶曉的產品,簡化以往繁瑣的申請程序 ,申請的過程將完全自動化,您可以非常容易的就取得免費的SSL憑證,讓以往申請SSL憑證的困難,在這個計畫中消失!

早期在申請SSL憑證的時候,您可能要跟CA廠商購買,從購買到取得安裝憑證需要一段時間(透過本網站的說明,可以減少這些複雜的步驟),另外還需要付費,當然憑證的認證也是需要時間,Let’s Encrypt計畫,打算把這些申請都變成自動化,您只要擁有一個網域,就可以申請憑證,從申請到安裝,非常簡單 這個計畫將於2015年中推出,預計是在6月份的時候,您可以到https://letsencrypt.org/網站,了解最新進度!

目前揭漏的設定方式說明如下,設定方式非常簡單

1.在linux的環境下執行 sudo apt-get install lets-encrypt :這邊應該是取得憑證的相關套件(包含憑證本身)

2.輸入以下指令 lets-encrypt example.com : 執行lets-encrypt程式(shell),進行安裝 這樣就完成設定了,

此時您打開https://example.com 就可以看到您的網站已經有加密囉! 有夠簡單吧,

把以往申請->繳費->驗證資格->取得憑證->安裝測試憑證->網站上線,等步驟,用兩段指令就搞定! 而且還免費!

此憑證不是自簽憑證喔,是經過合法的CA上發出的,同時也獲得瀏覽器的認可(不會跳出警告訊息),未來到期後可自動續訂,您不用的時候也可以註銷!

請注意:因為要自動達成這些步驟,此憑證一定是域名驗證(Domain Validation),至於OV與EV等需要人工驗證的憑證,這是無法達成的!但是至少對於DV憑證的普及真是大功一件!

我們來思考期技術的細節,要達到自動化的目的!有一個重要的關鍵,就是域名的確認(domain name),根據網站的說法,會由安裝在您主機的agent與Let’s Encryp的CA來達成自動驗證的目的,詳細的說明可參考官網

lets-encrypt是由ISRG(Internet Security Research Group)所提供,這是一個成立在美國加州的一家公益組織! 要提供憑證,一定也會有憑證作業標準程序,您從官網也可以看到CP的資料! 讓我們拭目以待吧!

後記:

還記得我們提供憑證最主要的價值在於驗證資格,lets-encrypt提供免費且自動的DV憑證,這也許會有幾個思考點

1.域名驗證採全自動,應該只看此域名的持有人,那如果有心人是駭客,他的網站也否可以取得此憑證來使用!這部分就不知道lets-encrypt之後是不是會有把關的機制,因為即使現在的收費DV憑證,雖說只驗證域名(到whois查或者確認信驗證),但是還是會有人到您的網站上去檢視一下網站的內容,以確保網站是否OK才核發(如godaddy)!

2.https信任問題:如果駭客網站也是https,那有可能會衝擊大家對於https的信心,因為大部分使用者分不清DV,EV,OV!(本網站有清楚說明)),有看到https就覺得有加密安全!結果上到駭客的網站被駭,有可能會怪罪到SSL憑證!

3.對市場的衝擊:目前雖然也有些CA商提供免費的SSL憑證,但大部分還都是需要費用,一但有免費且這麼好使用的服務出現,其它的CA商是否會反彈而抵制?

我們還是持這正面的態度來迎接這樣的服務,畢竟如果未來都是https的網站,至少您的網路行為是被加密過的,可大幅減少被竊取的可能(排除駭客網站本身),提高資料的安全性,同時想要監聽的單位也會很難破解!我還是覺得很不錯的!