Ve čtvrtek 3. září vytvořila certifikační autorita Let’s Encrypt šest nových certifikátů: jeden kořenový, čtyři mezilehlé a jeden křížově podepsaný. Tento krok je součástí většího procesu, který má za úkol zlepšit bezpečnost na webu, rozšířit podporu algoritmu ECDSA a zmenšit velikost certifikátů.
Kořen je základ
Každá veřejná důvěryhodná certifikační autorita potřebuje alespoň jeden kořenový certifikát, který je součástí prohlížečů, operačních systémů či jiných úložišť. Tento certifikát je bodem důvěry a umožňuje uživateli automatizovaně ověřit, že certifikát dodaný konkrétním webem vystavila důvěryhodná organizace.
Kořenové certifikáty mají ale z principu velmi dlouhou životnost a autorita musí dobře chránit jejich soukromý klíč. Ideálně tak, aby byl zcela oddělen od infrastruktury a v běžném provozu se vůbec nepoužíval. Proto mají autority na základě tohoto kořenového certifikátu vystaveny další mezilehlé certifikáty, které mají kratší životnost, používají se v produkčním prostředí a v případě problému je lze nahradit.
V průběhu předešlých pěti let používala autorita Let's Encrypt kořenový certifikát ISRG Root X1 s platností do roku 2035, který obsahoval 4096bitový klíč RSA.
V průběhu těchto let vzniklo postupně několik mezilehlých certifikátů: X1, X2, X3 a X4. První dva vznikly hned v roce 2015 a měly platnost pět let. Následující dva pak byly vytvořeny v roce 2016 a také mají platnost pět let. Všechny tyto mezilehlé certifikáty používají 2048bitové RSA klíče. Navíc jsou všechny křížově podepsané také kořenovým certifikátem autority IdenTrust s názvem DST Root CA X3. Tento certifikát patří jiné autoritě a je od začátku běžnou součástí aplikací a úložišť.
Kromě toho vytvořil Let's Encrypt ještě certifikát ISRG Root OCSP X1, který ovšem neslouží jako další autorita, ale používá se k podepisování odpovědí v protokolu OCSP (Online Certificate Status Protocol). Ten umožňuje klientům zjistit, zda nejsou mezilehlé certifikáty předčasně revokované.
Hierarchie certifikátů v srpnu 2020
Šest nových certifikátů
Nyní byly vytvořeny další dva nové certifikáty obsahující 2048bititové RSA, které se jmenují R3 a R4. Jsou oba odvozené od kořenového ISRG Root X1 a mají opět životnost nastavenou na pět let. Opět je také podepíše autorita IdenTrust. Jsou vlastně plnohodnotnou náhradou certifikátů X3 a X4, které vyprší už příští rok. Předpokládá se, že autorita na základě R3 začne vystavovat koncové certifikáty ke konci letošního roku. Na uživatele to nebude mít žádný dopad, jde o čistě formální změnu v řetězci důvěry.
Další certifikáty jsou ale zajímavější. Zaprvé vznikl nový kořenový certifikát ISRG Root X2, který místo RSA používá klíče ECDSA P-384 a je platný do roku 2040. Na jeho základě vznikly další dva mezilehlé certifikáty E1 a E2, které obsahují také ECDSA klíče a jsou platné příštích pět let.
Tyto mezilehlé certifikáty už nejsou křížově podepsány kořenovým certifikátem IdenTrust’s DST Root CA X3 a místo toho je samotný nový kořen ISRG Root X2 také podepsán starším ISRG Root X1.
Nový certifikát pro OCSP založený na ISRG Root X2 nevznikl. Důvody jsou vysvětleny dále.
Hierarchie certifikátů v září 2020
Proč chceme ECDSA
Algoritmus ECDSA je založen na eliptických křivkách, jejichž použití má řadu praktických výhod. Pro zajištění stejné bezpečnosti stačí menší klíče, práce s nimi je rychlejší a tedy i energeticky méně náročná a v neposlední řadě je díky nim možné vytvořit menší certifikáty.
Každé spojení prováděné pomocí HTTPS musí provést takzvaný TLS handshake. Ten vyžaduje, aby server na začátku odeslal klientovi svůj koncový certifikát a příslušné mezilehlé certifikáty. Ověření platnosti totiž vyžaduje, aby klient znal celý řetězec důvěry od kořene až ke koncovému certifikátu. To znamená, že každé spojení s každou doménou vyžaduje přenesení velkého množství dat obsahujících certifikát. Pokud navštívený web načítá obsah z dalších domén, přenášených certifikátů přibývá. Každý takový certifikát obsahuje veřejný klíč a podpis vystavený autoritou.
Zatímco klasický 2048bitový RSA klíč má 256 bajtů, klíč ECDSA P-384 má pouze 48 bajtů. Podobně podpis pomocí RSA zabere 256 bajtů a pokud k němu použijeme ECDSA, bude nám stačit přenést jen 96 bajtů. Pokud přičteme nějakou další režii, ušetříme při přenosu jediného certifikátu asi 400 bajtů. Musíme to ale vynásobit všemi doménami, se kterými se spojujeme, a tohle číslo může v průběhu dne poměrně rychle narůstat.
Ušetřené bajty jsou výhodné pro obě strany – provozovatelé služby ušetří peníze za přenosovou kapacitu, uživatele zase potěší rychlejší načítání a na mobilu ušetřená data. Nové certifikáty tak budou nejen bezpečnější, ale i efektivnější.
Ze stejného důvodu pak navíc Let's Encrypt přijal některá další opatření. Zkrátilo se například jméno autority (Subject Common Name) z „Let’s Encrypt Authority X3“ na jednoduché „R3“. Informace o organizaci zůstane v položce Organization Name, kde je stále uvedeno „Let’s Encrypt“. Zároveň byly zkráceny položky „Authority Information Access Issuer“ a „CRL Distribution Point URL“, nově se v nich používá krátká doména lencr.org. Zcela byly odstraněny adresy pro CPS a OCSP. Tím se dohromady ušetřilo dalších 120 bajtů, aniž by to mělo nějaký praktický dopad na použití certifikátu.
Proč křížově podepsat kořen ECDSA
Křížové podepisování je důležité pro překonání doby mezi vystavením nového kořenového certifikátu a jeho distribucí do nejrůznějších úložišť. Může to trvat až pět let, než bude nový kořen ISRG Root X2 dostatečně důvěryhodný. Je tedy potřeba jej v řetězci podepsat nějakým už důvěryhodným certifikátem, aby byl mezilehlý E1 pro klienty také důvěryhodný.
Autorita měla v zásadě dvě možnosti: podepsat nový ISRG Root X2 stávajícím kořenem ISRG Root X1 nebo pomocí X1 rovnou podepsat mezilehlé E1 a E2. Každý z postupů má své výhody a nevýhody.
Křížově podepsat kořenový ISRG Root X2 znamená, že pokud jej bude mít uživatel mezi důvěryhodnými, bude možné mít celou cestu složenou z ECDSA certifikátů. V průběhu následujících let, až se nový kořen dostane mezi uživatele, bude ověření rychlejší a uživatel přitom nebude muset nic změnit. Dokud k tomu ale nedojde, budou muset uživatelé ověřovat řetězec se dvěma mezilehlými certifikáty E1 a X2, což bude znamenat zpomalení celého procesu.
Podepsat křížově přímo mezilehlé certifikáty přináší obrácený kompromis: na jedné straně budou mít sice všechny řetězce stejnou délku s jedním mezilehlým certifikátem mezi koncovým a kořenem ISRG Root X1. Na druhou stranu, jakmile se dostatečně rozšíří ISRG Root X2, bude muset autorita znovu projít změnou řetězce, aby bylo možné mít celou cestu složenou z ECDSA.
Nakonec bylo rozhodnuto, že plný ECDSA řetězec je důležitější, takže se autorita vydala první zmíněnou cestou: křížově podepsala samotný kořen ISRG Root X2.
Proč chybí certifikát pro OCSP
Protokol OCSP (Online Certificate Status Protocol) umožňuje klientovi v reálném čase ověřit, že daný certifikát nebyl revokován. Jinými slovy, že autorita nerozhodla o jeho předčasném zneplatnění. Pokud si to přeje prohlížeč ověřit, dotáže se na adresu uvedenou v certifikátu a okamžitě se dozví, jak to s platností vypadá. Tato odpověď je podepsaná dalším certifikátem a její pravost je tak možné snadno ověřit.
To je užitečné pro koncové certifikáty, protože odpovědi jsou velmi rychlé a malé a každý uživatel tak může mít přehled o individuální sadě domén a jejich certifikátů. Podle toho, jaké domény svým prohlížečem navštěvuje.
Jenže mezilehlé certifikáty tvoří jen velmi malou skupinu ze všech certifikátů, které kolují po internetu. Jsou navíc velmi dobře známé a revokují se zřídka. Díky tomu je výrazně efektivnější udržovat seznam obsahující stav všech těchto známých certifikátů. Tomuto seznamu se říká Certificate Revocation List (CRL).
Mezilehlé certifikáty Let's Encrypt proto obsahují adresu (URL), ze které si prohlížeč může tento seznam stáhnout. Tvůrci některých prohlížečů to dokonce dělají automaticky a distribuují seznamy společně s novými verzemi svých programů. Ověření platnosti těchto mezilehlých certifikátů pak tedy nevyžaduje další síťovou komunikaci, což opět vede ke zrychlení.
Nedávná změna pravidel pro certifikační autority (ballot SC31) už nevyžaduje, aby mezilehlé certifikáty obsahovaly URL pro OCSP. Jejich stav tak může být distribuován výhradně pomocí CRL. Proto se autorita Let's Encrypt rozhodla odstranit adresu OCSP ze svých mezilehlých certifikátů. Tím pádem ani není potřeba vytvářet nový certifikát pro OCSP na základě nového kořene ISRG Root X2.
Automatizovaný ceremoniál
Vytvoření nových kořenových a mezilehlých certifikátů je velká událost, protože jejich obsah je přísně regulován a přidružené soukromé klíče musí být zvlášť bedlivě střeženy. Proto se celému procesu také říká vznosně „ceremoniál“. Let’s Encrypt věří v automatizaci, takže i tento proces byl svěřen strojům s minimální lidskou účastí.
Byl proto vytvořen zvláštní ceremoniální nástroj, který dokáže po nastavení automatizovaně vytvořit všechny požadované klíče, certifikáty a žádosti pro podpis. Bylo také vytvořeno demo celého ceremoniálu, které ukazuje obsah konfiguračních souborů a dovoluje komukoliv celý proces spustit a ověřit výsledek.
Lidé z Let's encrypt vytvořili kopii celé sítě včetně HSM (Hardware Security Module) a vyzkoušeli několikrát celý proces. Výsledek byl konzultován s technickým výborem a byl zveřejněn v několika komunitních mailing listech. Na ostro pak byl proces spuštěn 3. září v zabezpečeném datacentru a vše bylo zaznamenáno pro pozdější audity.
Autorita už také aktualizovala informační stránku, která nyní obsahuje podrobnosti o všech současných certifikátech a zahájila proces zařazení nového kořenového certifikátu do důvěryhodných úložišť. Koncové certifikáty založené na nových mezilehlých certifikátech by měly začít být vystavovány v průběhu následujících týdnů. Podrobnosti se objeví v komunitním fóru.
(Zdroj: Let's Encrypt)
