Je třeba zabít HTTP. Nadace nabídne SSL certifikáty zdarma

Organizace EFF se spojila s Mozillou, společnostmi Cisco, Akamai a dalšími a chce konečně nahradit HTTP za HTTPS. Třeba tím, že nabídne webmasterům certifikáty zdarma.

Největší weby na světě dnes šifrují veškerou komunikaci mezi surfařem a serverem. Platí to jak o Googlu, tak o Facebooku. Americká nezisková organizace EFF (Electronic Frontier Foundation), která hájí osobní svobodu jednotlivce na světové síti, však chce jít mnohem dál – chce zabít starý protokol HTTP.

Je třeba zabít HTTP

Tento úkol si dala organizace do vínku už v roce 2009 a později ve spolupráci se síti Tor představila také doplněk pro Chrome a Firefox HTTPS Everywhere, který se pokouší vynutit šifrované spojení tam, kde jej web sice nabízí, ale nikoliv ve výchozím stavu.

Pokračovatelem HTTP by měl být právě protokol HTTPS, jehož nástup je podle EFF příliš pomalý. Zatímco banky jej pro přístup k účtu skrze webový prohlížeč používají již od nepaměti a ostatní weby jej používaly alespoň pro citlivé chvilky, kdy surfař vyplňoval třeba heslo a další citlivé informace, běžný web se nasazování HTTPS dlouhé roky spíše bránil.

Klepněte pro větší obrázek Klepněte pro větší obrázek
Na obrázku vlevo používám běžné HTTP spojení (HTTP://) a jakýkoliv prostředník tedy může odposlouchávat a analyzovat nešifrovanou textovou komunikaci – zde tedy rychle pozná, že na Seznamu hledám slovo „brno.“ Na obrázku vpravo hledám výraz „brno“ na Googlu, ale případný špion uvidí jen šifrovanou HTTPS (HTTPS://) komunikaci a tedy změť znaků. Podle IP adresy spojení se sice dozví, že komunikuji s Googlem, ale to je vše.

Důvod je prostý. Zatímco HTTP přenáší veškerá data webových stránek v nešifrované podobě, při použití protokolu HTTPS se vše šifruje pomocí technologie SSL/TLS, což se pochopitelně podepisuje na mnohem vyšší spotřebě systémových prostředků – procesorového výkonu i paměti. S šifrováním se proto dlouhé roky spíše šetřilo a používalo se pouze na vybraná spojení.

Doba však pokročila a dnes už nestačí šifrovat pouze hesla a vyplněné formuláře třeba v e-shopech. Jak se stále více realizujeme na internetu a zanecháváme na něm po sobě enormní množství stop, je třeba šifrovat veškerou aktivitu. V opačném případě riskujeme, že si k naší osobě kdejaký sociální inženýr sestaví kompletní behaviorální profil.

HTTPS na velkých webech nestačí

Prvním odvážným byl Google a na jaře roku 2010 začal šifrovat komunikaci na svém vyhledávači, tedy na nejnavštěvovanější stránce světa. Později se přidal i Facebook a u velkých hráčů se z HTTPS začínal pomalu stávat standard a důkaz, „že na to mají.“

Klepněte pro větší obrázek
Google používá šifrované spojení pro všechny své hlavní služby. Samozřejmostí je také ověření identity serveru pomocí certifikátu od důveryhodné autority.

Jenže Google, Facebook nebo třeba Twitter nestačí. Lidé z EFF si správně uvědomili, že šifrovaný by měl být prostě každý web. Serverový výkon za poslední roky opět poskočil vzhůru, v tom by tedy problém už být nemusel – zvláště u relativně malých webů, ale komplikací může být obtížnější nasazení šifrování a především cena certifikátu vydaného důvěryhodnou autoritou, která ověřuje identitu serveru. Internet je totiž plný webů, které sice nabízejí šifrované spojení HTTPS, nicméně jejich autoři si nepořídili certifikát třeba od VeriSignu, Thawte a dalších vydavatelů, které jako ty důvěryhodné vede i operační systém a prohlížeč.

Pokud má tedy HTTPS nahradit HTTP, je třeba zároveň proměnit důvěryhodné certifikáty ve veřejnou službu, která bude zdarma. EFF pochopitelně nemá tu moc, aby docílila třeba toho, že tu vznikne nějaká obří univerzální certifikační autorita financovaná podobným způsobem jako třeba ICANN, který koordinuje doménový a IP systém celého internetu. A proto na to šla EFF trošku jinak.

Let’s Encrypt nabídne certifikáty zdarma

Aktivisté z Electronic Frontier Foundation se spojili se společnostmi Mozilla, Cisco, Akamai, IdenTrust a s výzkumníky Michiganské univerzity a začali vyvíjet projekt Let’s Encrypt. Skládá se ze dvou částí. Jednak to bude univerzální certifikační autorita, která bude nabízet webům certifikáty zcela zdarma, a jednak to bude nástroj pro velmi snadnou instalaci a nastavení HTTPS na (přinejmenším linuxových) webových serverech.

Klepněte pro větší obrázek
Nasazení HTTPS a certifikátu na linuxovém serveru podle Let's Encrypt. Stačí dva příkazy v terminálové konzoli.

Suma sumárum, webový správce, třeba právě provozovatel malého virtuálního serveru (VPS), který zdaleka neovládá pokročilé nastavení Apache aj., spustí v terminálu jeden prostý příkaz a vše se nastaví za něj. Za nic nezaplatí, vše bude zdarma a financované samotnými zapojenými partnery.

Ukázka snadného nasazení Let's Encrypt na linuxovém serveru

Pak už bude záležet pouze na jednání s autory webových prohlížečů a operačních systémů, zdali vezmou novou certifikační autoritu na milost a její kořenové certifikáty budou součástí každého počítače.

Ostrý provoz v létě 2015

Projekt Let’s Encrypt by měl v ostrém provozu odstartovat v létě příštího roku a snad by mohl pomoci k masivnějšímu rozšíření důvěryhodného HTTPS napříč malými weby. Současní komerční poskytovatelé certifikátů z této zprávy asi příliš velkou radost mít nebudou, ale podobné projekty jsou asi jedinou možností, jak se pokusit masivně rozšířit šifrované spojení napříč internetem. Tedy alespoň do doby, něž bude důvěryhodný HTTPS certifikát automatickou součástí každého pronájmu domény a jeho nasazení bude předpokládat každý webový server počínaje Apachem a Nginxem a konče IIS od Microsoftu.

Zlí jazykové pochopitelně namítnou, že i šifrované spojení HTTPS čas od času objeví nějakého toho kostlivce ve skříni – letos na jaře to byla třeba kauza bezpečnostní chyby Heartbleed v knihovně OpenSSL, která přesně toto šifrování realizuje na linuxových systémech, ale alespoň něco je lepší než nic a masivní šifrování webu geometrickou řadou zvýší naše soukromí především před všemožnými script kiddies, kteří nakonec stojí za většinou útoků na internetu.

Témata článku: Web, Technologie, Internet, Bezpečnost, Electronic

64 komentářů

Nejnovější komentáře

  • Vladimír Huf 24. 11. 2014 16:13:55
    A proč tedy živě nemá https?? Alespoň pro diskuze.........
  • -Fík 23. 11. 2014 22:02:05
    Jste mi připomněli, že mi teď expiroval certifikat na exchange serveru....
  • marek7878 21. 11. 2014 23:15:09
    me tohle prijde jako o pokus si postavit vlastni CA pomoci viralu. -...
Určitě si přečtěte

ASUS ZenBook 3 se začal prodávat v Česku. Je ve všem lepší než MacBook, ale bude to stačit?

ASUS ZenBook 3 se začal prodávat v Česku. Je ve všem lepší než MacBook, ale bude to stačit?

** Novinka od Asusu míří přímo proti MacBooku od Applu ** Nabídne daleko více výkonu za stejné peníze

2.  12.  2016 | David Polesný | 129

Sbíječky vyměnili za klávesnice. Nový projekt má za cíl přeučit horníky na programátory

Sbíječky vyměnili za klávesnice. Nový projekt má za cíl přeučit horníky na programátory

** Programátorů je málo a horníků bez práce po uzavření dolu Paskov bude moc ** Problém řeší unikátní projekt ** Pilotní kurz dává naději, že by z horníků mohli být použitelní kodéři

28.  11.  2016 | David Polesný | 79