Za iniciativou Let's Encrypt stojí Internet Security Research Group (ISRG) a hlavními sponzory jsou EFF, Mozilla Foundation, Akamai a Cisco Systems. Kromě toho je do projektu zapojena certifikační autorita IdenTrust, University of Michigan, Stanford Law School nebo třeba Linux Foundation.
Současné plány hovoří o spuštění 16. listopadu a od té doby by měl být k dispozici pohodlný způsob získávání a automatického nasazování SSL certifikátu na webové servery. Pro zprovoznění bude stačit nainstalovat na běžící server jednoduchou utilitu, vybrat na něm domény a software se o vše automaticky postará. Detailní rozbor jeho fungování pro vás připravujeme do samostatného článku.
Na vlastním serveru nebo VPS je vše poměrně přímočaré, protože správce může instalovat utilitu a konfigurovat samotný web server. Uživatelé se ale začínají ptát, jak to bude u poskytovatelů web hostingových služeb. Záleží na nich, zda vůbec a jak podporu Let's Encrypt implementují a zda ji vůbec chtějí nabídnout uživatelům.
Myšlenka je to vcelku logická a poměrně lákavá: firma zavede do svých systémů podporu otevřeného protokolu a dokáže na jedno kliknutí (nebo ani to ne) všem svým uživatelům nabídnout podporu HTTPS a zároveň pak třeba rychlejší protokol HTTP/2. Chtějí ovšem poskytovatelé hostingu něco takového? Oslovili jsme několik hostingových společností a požádali je o názor.
Současný stav: mají, ale důvěryhodný za peníze
Nejprve jsme zjišťovali, v jakém stavu je podpora HTTPS na hostingových serverech dnes. Automatizované nasazení SSL na hostingu nenabízíme. Zákazník provádí objednávku certifikátu přes kontaktní formulář. Vždy s ním individuálně probereme požadavky a nabídneme vhodné řešení. Pak případně přistoupíme k vystavení faktury a zřízení certifikátu,
řekl nám Jiří Tolar z FORPSI.
Podobně je na tom i slovenská společnost ELBIA: V současné době SSL certifikáty neprodáváme, takže úplně automatické nasazení SSL certifikátů momentálně neděláme. V každé případě si klienti mohou certifikát zakoupit od libovolné autority a následně je do své domény/subdomény nainstalovat prostřednictvím našeho administračního rozhraní,
sdělil nám zástupce společnosti, Jozef Sudolský.
Pavel Špinka z Hosting90 nám sdělil, že společnost svým klientům nabízí přímý nákup certifikátů od dvou autorit: V současné době SSL na hostingu poskytujeme, klientům nabízíme certifikáty od RapidSSL a GoDaddy.
SSL certifikáty na hostingu samozřejmě plně podporujeme. Pokud si zákazník pořídí SSL certifikát na našem projektu SSLmarket.cz, pak mu certifikát na hosting nasadíme automaticky a zdarma. Bezplatně nasadíme na hosting i SSL certifikát od jiného prodejce. V tomto případě je ale důležité kontaktovat naši podporu k vystavení veřejného klíče (CSR request). Nicméně naprostá většina našich zákazníků nám plně důvěřuje a má hosting i SSL certifikát zakoupený u nás,
řekl nám Marek Machač ze společnosti Zoner provozující hosting Czechia.com.
Aktuálně máme nasazení SSL automatizované. Certifikát si musí klient zajistit svůj nebo může použít náš sdílený. Máme rozjednáno zprostředkování důvěryhodných certifikátů, ale reálně to nasadíme až někdy na začátku jara,
popsal nám situaci Josef Grill ze společnosti WEDOS.
HTTPS je aktivní na každém našem Linux hostingu, tedy jak u těch nově zřizovaných, tak zpětně u všech stávajících. Je součástí základní služby a má aktivní podporou protokolů SPDY, resp. HTTP/2. HTTPS považujeme za nový standard, který by měl být dostupný všem bez jakýchkoliv příplatků,
říká Tomáš Hála ze společnosti Active 24. Ta sice během letošního léta zapnula HTTPS všem zákazníkům, ale zdarma jim generuje jen vlastní (self-signed) certifikáty, které se klientům jeví jako nedůvěryhodné. Podobně je na tom například také ELBIA.
Let's Encrypt známe a pozorně sledujeme
Web hosteři se shodují na tom, že o Let's Encrypt velmi dobře vědí a zatím opatrně sledují dění okolo projektu. Ano, samozřejmě vývoj certifikační autority Let's Encrypt sledujeme už od úplného začátku, velmi jim fandíme a těšíme se na ostrý provoz. Věříme, že její spuštění bude znamenat revoluci v šifrování internetu a zvýšení bezpečnosti a soukromí,
říká Jozef Sudolský z ELBIA.
O Let's Encrypt víme. Momentálně zvažujeme, jakým způsobem by mohla implementace proběhnout. Kromě sdíleného webhostingu nabízíme také pronájem serverů (virtuálních i fyzických). Zvažujeme, pro které služby bychom mohli certifikáty Let's Encrypt nasadit, zda bude možné Let's Encrypt zařadit do naší infrastruktury služeb, jakým způsobem bychom to řešili prakticky,
potvrdil Jiří Tolar z FORPSI.
O iniciativě víme, nasazení plánujeme v krátkodobém horizontu, v současné době připravujeme náš hostingový systém pro tuto službu,
řekl Pavel Špinka z Hosting90. O Let’s Encrypt samozřejmě víme. Sledujeme jeho aktuální vývoj a směr, kterým se bude nadále vyvíjet. Jakýkoliv krok směrem k zabezpečení internetu pomocí https protokolu je z naší strany vítán,
shodně potvrzuje Marek Machač z CZECHIA.
Iniciativu Let's Encrypt sledujeme velmi pozorně už od jejího založení. Na straně našeho web hostingu jsme odstranili všechny překážky, které brání širšímu nasazování HTTPS až na jednu, a tou je cena za důvěryhodný certifikát. Tady byl míč na straně certifikačních autorit a my nemáme ambici se takovou autoritou stát. Nelíbí se nám ani řešení pomocí sdílených certifikátů přes desítky různých nesouvisejících domén, které využívají některé společnosti. Vznikají tak nepříjemné situace, kdy například oficiální stránky Pražského hradu sdílely SSL certifikát s doménou s pornografickým obsahem. To důvěryhodnosti skutečně neprospívá. Vznik certifikační autority Let's Encrypt proto velmi vítáme,
říká Tomáš Hála z Active24.
Nasadit určitě chceme
Dobrou zprávou je, že společnosti nejen celou iniciativu sledují a vítají, ale slibují implementaci jejich služeb do vlastních systémů. Počítáme, že podporu Let's Encrypt spustíme do jednoho týdne od přechodu k ostrému provozu. Náš systém je v současnosti na automatické nasazení plně připraven. V praxi to pro nás bude znamenat jen ověřování domén/subdomén a vkládání vygenerovaných SSL certifikátů a soukromých klíčů do naší databáze, vše ostatní nám už funguje teď,
vysvětlil nám Jozef Sudolský z ELBIA.
Nasazení plánujeme v krátkodobém horizontu, v současné době připravujeme náš hostingový systém pro tuto službu,
říká Pavel Špinka z Hosting90. Opatrnější je zatím Jiří Tolar z FORPSI: Konkrétní řešení pro nasazení zatím nemáme, v tuto chvíli je vše ve fázi prvotního plánování.
Hned v tu chvíli, kdy začne Let's Encrypt vydávat své certifikáty, je bude možné samoobslužně a zcela zdarma nainstalovat a provozovat na našem Linux hostingu. Následně je logickým krokem, že tento proces zákazníkům ještě zjednodušíme a místo stávajících self-signed certifikátů jim rovnou zprostředkujeme a nainstalujeme důvěryhodný certifikát od Let's Encrypt. Je to tedy jednoznačně součástí našich plánů,
tvrdí Tomáš Hála z Active24.
Již delší dobu analyzujeme možnosti integrace Let's Encrypt s našimi web hostingovými a server hostingovými službami. Z našeho pohledu je rozhodující, do jaké míry dojde k rozšíření povědomí o této službě mezi laickou veřejnost. Samozřejmě si uvědomujeme, jaký tato služba může mít efekt pro některé naše zákazníky, a proto předpokládáme, že pro takové zájemce podporu Let's Encrypt implementujeme,
říká Marek Machač z CZECHIA.
Pro uživatele co nejjednodušeji
Provozovatelé web hostingu se vesměs shodují na tom, že mají v plánu podporu Let's Encrypt nasadit velmi rychle. Zároveň dodávají, že by chtěli využít projektem slibované jednoduchosti a přenést ji i na své klienty. Vše by proto mělo být nakonec plně automatizované a vyžadovat od uživatele minimum úsilí.
Pokud bude Let's Encrypt fungovat tak, jak je ti v současné době prezentováno, bude u nás ověření a instalace SSL certifikátu zcela automatické a pro klienta transparentní. Hned po přidání domény nebo vytvoření subdomény do našeho rozhraní se v pozadí spustí proces ověření a následně na ni nainstalujeme příslušný SSL certifikát. Klienti si pak budou moci zvolit, zda chtějí provozovat HTTPS s certifikátem od Let's Encrypt nebo s jiným. Prodlužování SSL certifikátu bude také plně automatické, takže klient nebude muset dělat vůbec nic,
říká Jozef Sudolský z ELBIA.
Náš prozatímní plán je takový, že pro uživatele bude zřízení služby znamenat ‚jedno kliknutí‘ v administračním rozhraní. Celý proces autorizace plánujeme kompletně automatizovat,
potvrzuje také Pavel Špinka z Hosting90. Jak budou vypadat konkrétní ověřovací kroky při implementaci Let's Encrypt zatím zvažujeme,
shrnul Marek Machač z CZECHIA.
Detaily implementace Let's Encrypt do našich systémů právě interně diskutujeme v rámci přípravných prací. Pravděpodobně bude ověřování probíhat ihned poté, co bude doména v DNS nasměrována na hosting u nás. Zároveň s tím ale bude nutné zajistit včasné a spolehlivé obnovování certifikátů před datem expirace a také jejich případné revokace,
říká Tomáš Hála z Active24. Zároveň zmiňuje i jeden potenciální problém, který bude třeba do budoucna vyřešit: S nástupem Let's Encrypt se musíme připravit na to, že pokud jsou dnes nezabezpečené webové aplikace napadány malwarem, nově bude mít útočník možnost si k doméně i vygenerovat validní certifikát. Proto by měl systém s takovými incidenty počítat a podvodné certifikáty umožnit bez prodlení revokovat. Záleží to i na některých detailech, jak bude Let's Encrypt v praxi fungovat, které nyní studujeme.
Web hosting míří k HTTPS
Web hosteři se tedy shodují na tom, že Let's Encrypt je velmi užitečný projekt, které ho se chtějí sami velmi brzy zúčastnit. Klientům automaticky nabídnou či rovnou spustí podporu HTTPS s validním certifikátem zdarma. Důležité je, že uživatel pro to nebude muset vlastně udělat nic. Bude to mít ještě jednodušší než uživatel VPS, který musí alespoň nainstalovat onu automatickou utilitu.
Výsledkem tedy bude, že i neznalý zákazník, který se nechce a neumí šifrováním zabývat, jej dostane automaticky naservírované, naladěné a zapnuté. Jen tak se může HTTPS stát běžným standardem, který budeme očekávat a vyžadovat.
ČLÁNKY DO MAILU