Certifikační autorita Let's Encrypt změnila před třemi lety přístup k šifrování na webu a stále zaznamenává obrovský růst. Více než 152 milionů doménových jmen je pokryto, což umožňuje důvěryhodný přístup k obsahu. Tohle škálování je možné díky tomu, že jsou certifikáty vydávány automatizovaně a zadarmo.
Má to ale i svá úskalí: Let's Encrypt se stal středobodem pro DV certifikáty a jakmile by se s ním něco stalo, měla by řada správců velký problém. Závislost na jednom podobném subjektu je velmi nebezpečná z mnoha důvodů. Přestože je protokol ACME navržen otevřeně a univerzálně, ostatní autority se do něj příliš nehrnou.
ACME pro automatizaci
Současně se vznikem autority Let's Encrypt vznikl protokol ACME (Automated Certificate Management Environment), který zajišťuje celou komunikaci s autoritou, vytvoření uživatelského účtu, zaslání žádosti o vystavení certifikátu, proces validace požadavku a poté samotné odeslání podepsaného certifikátu.
Přestože je protokol navržen naprosto univerzálně a obsahuje i podporu pro placené uživatelské účty, ostatní certifikační autority se do jeho nasazování nijak zvlášť nehrnuly. Teprve nyní se zřejmě dostáváme do fáze, kdy se budeme s protokolem ACME setkávat i jinde.
Pro uživatele je velkou výhodou to, že existuje celá řada hotových nástrojů v mnoha jazycích běžící na řadě platforem. O některých z nich jsme už psali: ACME.sh, Dehydrated, Caddy nebo modul přímo do Apache. Pokud tedy protokol ACME nasadí další autority, bude přechod k nim velmi snadný. Stačí jen pomocí konfigurační volby nasměrovat komunikaci na jinou autoritu.
Buypass s certifikáty zdarma
První vlaštovkou je v tomto směru norská certifikační autorita Buypass, která nyní zprovoznila na své infrastruktuře podporu protokolu ACME a uživatelům dává DV certifikáty zdarma. Z uživatelského hlediska jde tedy o alternativu k Let's Encrypt, která může docela dobře sloužit jako záloha. Pokud nastane například dočasný výpadek jedné z autorit, bude možné použít tu druhou. Na druhou autoritu s podporou ACME upozornil na svém webu známý bezpečnostní odborník Scott Helme.
Služba se jmenuje Buypass Go SSL a nabízí zdarma certifikáty s dobou platnosti 180 dnů. Má vlastní kořenovou certifikační autoritu Buypass Class 2 Root CA, která je široce rozšířená a důvěryhodná napříč aplikacemi. Koncové DV certifikáty pak vydává mezilehlá autorita Buypass Class 2 CA 5.
Jak to použít
Autorita má na svém webu stránku se základními technickými parametry. To podstatné je, že ACME server sídlí na adrese https://api.buypass.com/acme/directory. Při generování certifikátu je potřeba tuto adresu klientovi předat, obvykle parametrem --server. Výsledný požadavek tak bude vypadat například takto:
$ acme.sh --issue -d example.com -w /home/letsencrypt/webroot/ --server https://api.buypass.com/acme/directory
Komunikace s autoritou pak probíhá tak, jak jste zvyklí, můžete generovat další certifikáty, obnovovat již existující nebo je revokovat. Autorita doporučuje klienta Certbot, ale můžete využít svého oblíbeného.
Certifikáty se samozřejmě objevují v databázích Certificate Transparency, jinak by už dnes nebyly považovány za důvěryhodné. Autorita je automaticky přidává do logů Google Skydiver a Comodo Sabre. Záznamy si můžete prohlédnout například na Crt.sh nebo Censys.io.
Vlastnosti a omezení certifikátů
Jak jsme si už řekli, certifikáty vydané autoritou Buypass mají platnost 180 dnů. Tedy dvakrát delší než je tomu u Let's Encrypt. To lze díky automatizaci jen těžko považovat za nějakou dramatickou výhodu, prostě se proces obnovování pouští méně častěji. Mimochodem, současná maximální doba platnosti certifikátů je 825 dnů a tato hranice se bude pravděpodobně postupně dále zkracovat.
Limit je 20 certifikátů v jedné doméně vytvořených za týden. Autorita vychází ze seznamu veřejných suffixů, ve kterých je možné si zaregistrovat subdoménu. Pokud tedy máte doménu example.com, můžete si každý týden nechat vygenerovat samostatné certifikáty pro www.example.com, blog.example.com, data.example.com a tak dále až do limitu.
Za týden je možné vytvořit 5 duplicitních certifikátů pro stejnou sadu domén. Zároveň je možné mít až 5 neplatných validací za jednu hodinu pro jedno doménové jméno a uživatelský účet. Pak jsou tu další limity, na které při běžném provozu nenarazíte: 300 souběžných autorizací na jednom uživatelském účtu a maximálně 20 požadavků za sekundu.
Nevýhody a problémy
Nic není tak horké, jak se upeče. Tak i autorita Buypass má svá omezení a nevýhody. Tou hlavní je, že autorita dovoluje do certifikátu vložit nejvýše dvě doménová jména a ještě ne libovolná. Vypadá to, že je povolena pouze varianta bez www a s ním, pravidla pro to ale nejsou příliš jasná. Pokud zkusíte nepovolenou variantu, dozvíte se:
Sign failed: "detail":"Requested combination of domains is not allowed"
Autorita také nepodporuje IPv6, takže pokud máte například síťové prvky jen s veřejnou IPv6 adresou, certifikát si na nich nevygenerujete. Omezení budete muset obcházet například pomocí validace v DNS z jiného serveru.
Co je horší je fakt, že autorita nevaliduje DNSSEC, takže jí nevadí chybně podepsaný nebo nepodepsaný DNS záznam porušující řetězec důvěry. Naopak správně validuje CAA záznam, takže si dejte pozor při výměně autorit. Správný záznam vypadá takto:
example.com. CAA 0 issue "buypass.com"
Bohužel ještě ke všemu výše uvedené vlastnosti nejsou nikde dokumentovány, autorita je vůbec velmi skoupá na informace. Doufejme, že se to časem zlepší. Do té doby sice může sloužit jako záloha k Let's Encrypt, ale opravdu jen jako nouzová.
ČLÁNKY DO MAILU