Pular para o conteúdo principal

Let’s Encrypt: autoridade certificadora livre e aberta promete criptografar toda a Web


No ano passado (2014), um grupo de especialistas de segurança na Internet da Universidade de Michigan, Mozilla e a Electronic Frontier Foundation criaram uma nova autoridade certificadora (AC) denominada Let’s Encrypt (“Vamos Criptografar”). Além disso, contém o apoio da Cisco, Akamai e outros. Posteriormente, entrou no rol de trabalhos colaborativos da Linux Foundation. O projeto Let’s Encrypt visa emitir certificados digitais SSL/TLS gratuitos para qualquer site que necessitar. Seu primeiro certificado digital foi assinado digitalmente em meados de setembro de 2015. Por fim, a autoridade certificadora Let’s Encrypt promete emissão de certificados sem nenhum custo, transparência, segurança e cooperativismo; já que é uma a iniciativa controlada por várias empresas que possuem o objetivo de beneficiar a comunidade.
Em resumo, o projeto permitirá que qualquer site da internet possa proteger seus usuários com certificados SSL/TLS que criptografam todos os dados enviados entre os usuários e o site. A iniciativa também torna a implementação HTTPS mais fácil para qualquer site ou site de compras online, afim de garantir a segurança dos dados de seus clientes.


Como funciona?



Uma visão geral da sua arquitetura, podemos destacar 2 aspectos importantes:

1 – Protocolo ACME (Automatic Certificate Management Environment) –
Em resumo, ele envolve vários pedidos (ou desafios) para o servidor web onde o certificado está presente. Com base nas respostas, a Validação do Domínio do inscrito é assegurada por uso de um par de chaves. Existirá um cliente agente ACME configurado no servidor do domínio cadastrado que será consultado pelo servidor da autoridade certificadora (AC). Clique aqui, para informações técnicas do seu funcionamento


Domain Validation / Technology




2 – Emissão de Certificado ou Revogação de certificados automáticos –


Uma vez que o agente tem um par de chaves autorizadas, a solicitação de renovação e revogação dos certificados é simples: basta enviar mensagens de gerenciamento de certificado e assiná-las com o par de chaves autorizadas. Para obter um certificado para o domínio, o agente constrói um PKCS que solicita a CA Let’s Encrypt a emissão de um certificado para o domínio em questão, com a chave pública informada.



Certificate Issuance and Revocation



Em outras palavras, a ideia central do Let’s Encrypt é que o nível básico de validação de identidade pela autoridade certificadora possa ser realizado automaticamente (verificação básica, chamada Validação de Domínio, vide descrição acima). Assim, como a validação e, consequentemente, a emissão de certificado poderá ser realizada sem intervenção humana, não há quase nenhum custo marginal associado à emissão de um certificado para um novo domínio. Isto significa que este serviço pode ser prestado em grande escala em um modelo sem fins de lucro, sem custo para o usuário final que recebe o certificado.

Nosso objetivo é permitir que um administrador de sistemas leve menos de um minuto para obter e instalar um certificado confiável, sem nenhum custo, executando um único comando em um servidor. Usuários de navegadores Web não têm que mudar ou atualizar nada para que os certificados Let’s Encrypt sejam aceitos; eles simplesmente navegam na Web como de costume e estarão automaticamente protegidos.

No validation emails, no complicated configuration editing, no expired certificates breaking your website. And of course, because Let’s Encrypt provides certificates for free, no need to arrange payment.


Como obter um certificado?



Mesmo o 1a. certificado assinado pela CA Let’s Encrypt ter sido em meados de setembro de 2015 e emissão de mais outros 11 mil certificados; o projeto, ainda, encontra-se em estágio de transição entre o beta e o stable de desenvolvimento. Pois, todos esses certificados foram emitidos com status privado.

Com publicação de hoje (3 de dezembro), o projeto Let’s Encrypt abriu o beta desenvolvimento ao público; permitindo que qualquer um possa requisitar um certificado. Para isso, é preciso preencher uma formulário de requisição e aguardar contato para mais informações.

Como ambiente de teste, fiz a requisição de um certificado para um domínio X e segui esse tutorial de instalação e configuração no Debian. Com base nisso, segue um passo-a-passo de como emitir, assinar e usar um certificado do Let’s Encrypt

O projeto Let’s Encrypt ainda está em estágio beta. Uso por sua conta e risco


PASSO 1



Com acesso root ao servidor web (no meu caso Apache) que deseja usar o certificado, baixar os sources do projeto:
Depois entre no diretório escolhido usado para baixá-lo e entre na pasta letsencrypt. Execute o comando ./letsencrypt-auto para preparar o ambiente (baixando pacotes e dependências):
Muitos pacotes e dependências são instalados nessa etapa. Espere o fim do processo para continuar.
$ cd letsencrypt
$ ./letsencrypt-auto


PASSO 2



Escolha um site Vhost, configurado no seu ambiente, para configurar o futuro certificado. Entre no arquivo correspondente (/etc/apache2/sites-available/{{conf}}) e insira a seguinte linha:
Esse procedimento é fundamental!! Os servidores do Let’s Encrypt irão consultar se esse método foi configurado gerando desafios (consultas) contra o domínio que será informado.
Alias /.well-known /var/www/html/{{diretorio-site}}/.well-known


PASSO 3



Reinicie o apache! Depois esse execute esse comando para requisitar um novo certificado:
$ /root/.local/share/letsencrypt/bin/letsencrypt –renew-by-default -a webroot –webroot-path {{diretorio /var/www do seu site}} –server https://acme-v01.api.letsencrypt.org/directory–email {{email do admin do sistema}} –text –agree-tos -d {{domínio}} auth
Onde,
  • {{diretorio /var/www do seu site}} = /var/www/seu_site
  • {{email do admin do sistema}} = e-mail do administrado do serviço – importante para contatos futuros
  • {{domínio}} = www.seusite.com, por exemplo
Pronto!! Você deverá ver uma mensagem como essa:
IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at
   /etc/letsencrypt/live/{{SEU DOMINIO}}/fullchain.pem. Your cert
   will expire on 2016-03-02. To obtain a new version of the
   certificate in the future, simply run Let's Encrypt again.
 - If like Let's Encrypt, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le
Por fim, adicione no conf do Vhost do seu site o seguinte conteúdo:
[…]
SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/{{SEU DOMINIO}}/cert.pem
SSLCertificateKeyFile /etc/letsencrypt/live/{{SEU DOMINIO}}/privkey.pem
SSLCertificateChainFile /etc/letsencrypt/live/{{SEU DOMINIO}}/fullchain.pem
[…]


PASSO FINAL



Acesse um navegador e informe o domínio do seu site; e veja o resultado




MAIS INFORMAÇÕES

Site Oficial – Let’s EncryptVisão Geral – ArquiteturaComunidade – Let’s EncryptProjeto GitHub – Oficial

Fonte: Linux Descomplicado

Comentários

Postagens mais visitadas deste blog

Dica de configuração do CURA usando PLA

Essas são as configurações que eu fiz em minha impressora ANET A8 para imprimir no PLA.

Criei 2 perfis, um com média qualidade (0,2mm) e outro com alta qualidade (0,1mm).

Média Qualidade



 Alta Qualidade

No filme o Livro de Eli, o personagem principal é cego?

Acho que o filme vale a pena, não só pela excelente fotografia, mas por alguns outros pontos. Eli pode ser cego sim. Ainda vou assistir mais uma vez o filme para confirmar, mas alguns detalhes são importantes para serem notados:
1) Cegos geralmente usam óculos de sol, portanto o fato de todo mundo usar, esconde um pouco o fato de ele usar.
2) Nem todos os cegos tem olhos do mesmo jeito. Se ele não for completamente cego, ele é o suficiente para ter que aprender Braile
3) Ele não olha para o sol e sim o sente em sua face.
4) Ele não encherga que a bateria de seu iPod está acabando? pq fica batendo nele?
5) Vai para o escuro lutar com os primeiros bandidos. Uma tremenda vantagem para quem é cego. Técnica muito usada pelo super-herói Demolidor.
6) Só atira qdo ouve de onde vem o tiro. Se ninguém atirar ele não revida.
7) Ele mata um passaro pelo som. É forçado ele acertar tudo, mas isso é para deixar a gente confuso.
Pois bem, só assisti uma vez, mas vou confirmar isso tudo na segunda. Acho qu…

Suporte para Notebook com tubos de PVC

Fonte: http://tecnicolinux.blogspot.com.br