Automattic спонсирует инициативу Let’s Encrypt

В ноябре прошлого года Electronic Frontier Foundation анонсировала Let’s Encrypt , новый бесплатный и открытый центр сертификации для общественности. Инициатива направлена ​​на то, чтобы сделать доверенные сертификаты доступными для всех бесплатно.

Идея Let’s Encrypt заключается в том, чтобы перевести как можно больше доменов с HTTP на HTTPS, обеспечив практически безболезненный процесс регистрации одним щелчком мыши во время собственной установки сервера.

Центр сертификации Let’s Encrypt должен быть запущен в середине 2015 года. В прошлом месяце Automattic присоединилась к Mozilla, Cisco, EFF и нескольким другим организациям в качестве основного спонсора инициативы. Я поговорил с Барри Абрахамсоном , главным специалистом по системам в Automattic, чтобы узнать, есть ли у компании какие-либо планы, кроме помощи в финансировании усилий.

«На данный момент у нас нет никаких конкретных планов помимо спонсорства, но мы надеемся помочь обеспечить поддержку SSL как можно большему количеству сайтов WordPress», — сказал он.

В прошлом году Automattic внедрила SSL для всех поддоменов *.wordpress.com в рамках кампании Reset the Net против массовой слежки. Продукт компании Akismet недавно перевел все вызовы своего API на использование SSL , чтобы лучше защитить данные комментаторов.

В то время как многие крупные сайты WordPress перешли на SSL, обычному пользователю WordPress с собственным хостингом, вероятно, будет непросто настроить его. Вот почему такие инициативы, как «Let’s Encrypt», так важны.

Однако скептики не полностью убеждены в том, что новый центр сертификации сделает Интернет более безопасным от любопытных правительственных глаз. Защитник конфиденциальности Александр Ханфф написал пост , в котором объяснил, почему он считает, что новый суперцентр сертификации станет мишенью для тех, кто его использует.

Центры сертификации являются самым слабым звеном в цепи цифровой безопасности. У них есть право выдавать специальные мастер-ключи (из-за отсутствия лучшей фразы), которые позволяют третьему лицу притворяться кем-то, кем они не являются. По сути, это означает, что по принуждению удостоверяющего центра по секретному судебному приказу любой спецслужбе или другому правоохранительному органу могут быть предоставлены специальные сертификаты, что позволит им маскироваться под кого-то другого (ваш банк, Facebook, Google — любого, кто использует этот центр сертификации для своих SSL-сертификатов)

Он отмечает, что секретные судебные постановления почти всегда сопровождаются приказом о неразглашении информации, чтобы центр сертификации не мог раскрыть, что они выдали правительству специальные сертификаты. Если у правительства есть неограниченный доступ к «супермастер-ключам» для тысяч доменов, ускоренный новым бесплатным центром сертификации, стремящимся «зашифровать всю сеть», тогда шифрование на основе сертификатов становится бесполезным.

Инициатива Let’s Encrypt призвана оказать радикальное влияние на количество зашифрованных сайтов в сети. Распространение шифрования означает, что больше людей будут лучше защищены от таких атак, как захват учетных записей и кража личных данных. Однако, если вы используете новый бесплатный центр сертификации, важно понимать, что ваши сообщения могут быть не защищены от государственного надзора. Бесплатные SSL-сертификаты для всех будут иметь свою цену.