互聯(lián)網(wǎng)安全研究小組(The Internet Security Research Group)正試圖推出“免費、自動和開放的證書授權(quán)系統(tǒng)”，被稱為Let’s Encrypt，并且，目前可用的證書都處于有限的測試版。那么，它的工作原理是什么，它是否與付費證書頒發(fā)機(jī)構(gòu)同樣安全?使用時應(yīng)該注意哪些事項呢?

Michael Cobb：數(shù)字證書是互聯(lián)網(wǎng)安全通信的核心，讓用戶或設(shè)備可以驗證他們正在與誰通信，并確保這些通信的安全性。很多企業(yè)網(wǎng)站在使用數(shù)字證書，但對于規(guī)模較小的網(wǎng)站，通常很難安裝和更新證書，并且往往不便宜。為了解決這個問題以及讓HTTPS更加普及，新的證書頒發(fā)系統(tǒng)Let’s Encrypt將開始通過自動的簡單的過程對任何擁有Web域名的人發(fā)放免費的X.509證書。

Let’s Encrypt是互聯(lián)網(wǎng)安全研究小組(ISRG)提供的開放的證書授權(quán)服務(wù)(CA)服務(wù)。ISRG是由Mozilla基金會、思科、Akamai、電子前沿基金會和IdenTrust等支持的公益組織;Linux基金會則提供人員配備和管理工作。

雖然大多數(shù)CA會提供指導(dǎo)來幫助大家安裝證書，但對于經(jīng)驗不足的管理員而言，這仍然是復(fù)雜和緊張的工作。而Let’s Encrypt證書管理客戶端運行在管理員自己的Web服務(wù)器，并會自動化證書頒發(fā)和安裝過程，讓沒有相關(guān)技能、預(yù)算或時間來安裝Web服務(wù)器證書的人可以配置其服務(wù)器以使用HTTPS，并自動化管理證書更新。其中用于自動化發(fā)布的協(xié)議被稱為Automated Certificate Management Environment，這仍然是正在進(jìn)展中的工作，規(guī)格草案已經(jīng)提供在GitHub，其中一個版本已經(jīng)發(fā)布為Internet Draft Link。

Let’s Encrypt使用兩步驟過程來在Web服務(wù)器設(shè)置證書。首先，代理向CA證明Web服務(wù)器控制域名，Let’s Encrypt CA會進(jìn)行驗證，例如配置DNS記錄或HTTP資源，而該代理必須使用其私鑰簽名來證明它控制密鑰對。在CA驗證成功后，由公鑰確定的該代理會被授權(quán)為為該域名執(zhí)行證書管理任務(wù)。只要代理有授權(quán)密鑰對，請求、更新和撤銷證書只需要使用授權(quán)密鑰要對簽名證書管理信息。例如，若想要撤銷證書，代理需要使用授權(quán)密鑰對簽署撤銷請求，在CA驗證該請求后，它會發(fā)布撤銷信息到CRL和OCSP正常撤銷渠道。

Let's Encrypt會發(fā)布DV(域名驗證)證書，這意味著該域名的唯一所有權(quán)得以驗證。擴(kuò)展驗證(EV)SSL證書(激活現(xiàn)代瀏覽器中的掛鎖和綠色地址欄)要求CA執(zhí)行額外的檢查來確定合法身份，以及該網(wǎng)站所有者的運作和物理存在。正因為此，EV證書比DV證書更昂貴，高達(dá)1000美元以上。對于大型企業(yè)，這并不是巨大的數(shù)額，但這個成本會不斷增加，因為企業(yè)可能需要數(shù)百個證書。

對數(shù)字證書的信任需要CA具有強大的安全的基礎(chǔ)設(shè)施和證書頒發(fā)程序，可最大限度地減少欺詐證書頒發(fā)的可能性?？杀氖?，有些CA在這兩方面都無法滿足。例如，Comodo和DigiNotar等CA遭受攻擊和破壞，讓攻擊者可以數(shù)字模擬Facebook、Twitter、Skype、Google和CIA等網(wǎng)站。還有些CA則有著糟糕的做法;ANSSI(發(fā)過網(wǎng)絡(luò)安全機(jī)構(gòu))的中間CA證書被用來生成假證書以執(zhí)行中間人攻擊，同時，中國互聯(lián)網(wǎng)網(wǎng)絡(luò)信息中心旗下的中間證書頒發(fā)機(jī)構(gòu)MCS Holding為很多谷歌域名頒發(fā)未經(jīng)授權(quán)數(shù)字證書。

基于這種狀況，在不需要EV證書的情況下，Let’s Encrypt應(yīng)該是企業(yè)考慮使用的證書頒發(fā)服務(wù)的不錯選擇。簡單的證書管理是其一大優(yōu)勢，這可以讓企業(yè)更頻繁地轉(zhuǎn)換證書。有些管理員可能不想使用非營利組織的證書，托管服務(wù)提供商可能不愿意將非營利證書整合到其針對小型企業(yè)的產(chǎn)品。然而，免費的CA肯定會受到歡迎，特別是如果它可以避免其他CA存在的錯誤頒發(fā)證書等問題，并且，DV證書比沒有證書要好--在身份驗證過程是最低要求的情況下。

請注意：CA需要申請將其根證書安裝在主流Web瀏覽器中，這個過程可能需要長達(dá)三年時間。Let’s Encrypt證書將被所有主流瀏覽器接受，在申請過程完成之前，ISRG的根級證書將由IdenTrust交叉簽名，IdenTrust是智能手機(jī)政府ID卡供應(yīng)商HID Global擁有的CA。

所有ISRG密鑰目前都是RSA密鑰，但在今年晚些時候?qū)苫贓lliptic Curve Digital Signature Algorithm密鑰。Let’s Encrypt預(yù)計將會在12月3日進(jìn)入公測階段。