Vissza

Titkosíts!

 

 

Az utóbbi időben reflektorfénybe kerülő megfigyelési és lehallgatási botrányok nyomán egyre inkább terjed az a nézet, hogy titkosítani kell mindent. Legtöbbször az derül ki, hogy olyan mintha a különböző titkosszolgálati szerveknek korlátlan hatalmuk lenne, és az olyan nagy cégek, mint a Google vagy az Apple is áldozatul tudnak esni lehallgatásoknak. Másrészt a technológia fejlődésével és térnyerésével egyre nagyobb erőforrás és eszközpark áll a különböző hackerek kezében, hogy személyes adatainkat megszerezzék. Főként igaz ez olyan oldalakon, ahol érzékeny adatokat is adunk meg, mint pl. bankkártyaszámot.

Erre a problémára nyújt megoldást a webszerverekbe építhető SSL tanúsítvány. Az alap http protokoll alapvetően titkosítás nélkül, plain-text formában küldi és fogadja az adatokat. Ennek a titkosított verziója a https protokoll, ahol magát a kommunikációs csatornát titkosítjuk a tanúsítványokkal, melyekben legalább egy 2048 bit hosszú kulcspár és a tanúsítvány egyéb adatai pl. aláírója és kibocsájtója biztosítja a kommunikáció megbízhatóságát és nehezített lehallgatását. Nem utolsó sorban a Google is szereti a titkosított weblapokat, keresési találatban előrébb helyezi az tanúsítvánnyal rendelkező honlapokat. Általában ezért a különböző tanúsítványkibocsájtó cégek elég tetemes, akár több száz dollárt is elkérhetnek, cserébe biztosítás jár melléjük.

Let's Encrypt

Ez a kérdéskör vezette az Internet Security Research Group (ISRG) non-profit szervezetet, hogy létrehozza a Let's Encrypt projektet, jó pár nagy és neves IT cég szponzorálásában. Az ISRG célja, hogy ledöntse a technikai, pénzügyi, oktatásbeli akadályokat, melyek nehezítik a biztonságos kommunikációt az interneten. Ennek az eszmének teljes mértékben megfelel a Let's Encrypt projekt, melynek célja, hogy nyílt, a közösség által épített rendszeren keresztül bárki számára ingyenes tanúsítványokat állítson ki, és azok bárki számára visszaellenőrizhetőek legyenek.

Az fps-nél már egy bő hónapja használunk ilyen SSL certificate-eket, egy két helyen már éles körülmények között is. A rendszer 2016. április 12-én lépett ki a béta státuszból, így már lehet használni production környezetben is. Annak ellenére, hogy új tanúsítványkibocsájtók, jó kompatibilitási tulajdonságokkal rendelkeznek, gyakorlatilag mindenféle platform és böngésző támogatja, amit az elmúlt 5-6 évben adtak ki.

Két nagy előnye van a rendszernek az egyéb ingyenes tanúsítványkibocsájtókkal szemben. Egyrészt mindenféle komolyabb regisztrációs folyamat nélkül lehet igényelni, másrészt a certificate-ek igénylésére, megújítására, visszavonására kész programotCertbot, biztosít az ISRG. A program szabadon letölthető GitHubról.

Van azonban néhány korlátozása a rendszernek. Egyrészt csak domain alapú rendszerekhez, tipikusan web és levelezőszerverekhez használhatóak a kiállított tanúsítványok, másrészt a kiállított tanúsítványok mindössze 90 napra szólnak, ezzel biztosítva, hogy ha még is ellopnak egy kulcsot, vagy az sérül, hamar inaktívvá válik különösebb beavatkozás nélkül. Fontos szem előtt tartani, hogy nincs wildcard certificate kiállítás, nem korlátlanul kapunk tanúsítványokat, viszont enged összefűzni 100 darab domaint egyetlen certificate alá.

A Certbot, ami kezeli a megújításokat, alapvetően Linux és Unix alapú operációs rendszerekkel működik együtt, és az azokon fellelhető webszervekkel. A tanúsítványok kezeléséhez az ACME protokolt használja. Alapesetben egy saját webszervert indít a program a szabvány 80-as porton, amin keresztül megy a domain validálás, ám ez nem járható út egy éles rendszeren.

Éles rendszereknél az Apache webszervert támogatja stabilan, de készül az NginX támogatás is, ami még nem stabil. Egyéb webszerver esetén létezik egy webroot funkció, melyet megadva a validációs fájlt a program egy megadott könyvtárban helyezi el, és ezt ellenőrzi vissza a rendszer.

Hogyan automatizáld a megújítást?

Bővebben itt olvashatsz róla: Tar Péter blogja



Tanfolyami naptár