Organizace EFF se spojila s Mozillou, společnostmi Cisco, Akamai a dalšími a chce konečně nahradit HTTP za HTTPS. Třeba tím, že nabídne webmasterům certifikáty zdarma.
Největší weby na světě dnes šifrují veškerou komunikaci mezi surfařem a serverem. Platí to jak o Googlu, tak o Facebooku. Americká nezisková organizace EFF (Electronic Frontier Foundation), která hájí osobní svobodu jednotlivce na světové síti, však chce jít mnohem dál – chce zabít starý protokol HTTP.
Je třeba zabít HTTP
Tento úkol si dala organizace do vínku už v roce 2009 a později ve spolupráci se síti Tor představila také doplněk pro Chrome a Firefox HTTPS Everywhere, který se pokouší vynutit šifrované spojení tam, kde jej web sice nabízí, ale nikoliv ve výchozím stavu.
Pokračovatelem HTTP by měl být právě protokol HTTPS, jehož nástup je podle EFF příliš pomalý. Zatímco banky jej pro přístup k účtu skrze webový prohlížeč používají již od nepaměti a ostatní weby jej používaly alespoň pro citlivé chvilky, kdy surfař vyplňoval třeba heslo a další citlivé informace, běžný web se nasazování HTTPS dlouhé roky spíše bránil.
Na obrázku vlevo používám běžné HTTP spojení (HTTP://) a jakýkoliv prostředník tedy může odposlouchávat a analyzovat nešifrovanou textovou komunikaci – zde tedy rychle pozná, že na Seznamu hledám slovo „brno.“ Na obrázku vpravo hledám výraz „brno“ na Googlu, ale případný špion uvidí jen šifrovanou HTTPS (HTTPS://) komunikaci a tedy změť znaků. Podle IP adresy spojení se sice dozví, že komunikuji s Googlem, ale to je vše.
Důvod je prostý. Zatímco HTTP přenáší veškerá data webových stránek v nešifrované podobě, při použití protokolu HTTPS se vše šifruje pomocí technologie SSL/TLS, což se pochopitelně podepisuje na mnohem vyšší spotřebě systémových prostředků – procesorového výkonu i paměti. S šifrováním se proto dlouhé roky spíše šetřilo a používalo se pouze na vybraná spojení.
Doba však pokročila a dnes už nestačí šifrovat pouze hesla a vyplněné formuláře třeba v e-shopech. Jak se stále více realizujeme na internetu a zanecháváme na něm po sobě enormní množství stop, je třeba šifrovat veškerou aktivitu. V opačném případě riskujeme, že si k naší osobě kdejaký sociální inženýr sestaví kompletní behaviorální profil.
HTTPS na velkých webech nestačí
Prvním odvážným byl Google a na jaře roku 2010 začal šifrovat komunikaci na svém vyhledávači, tedy na nejnavštěvovanější stránce světa. Později se přidal i Facebook a u velkých hráčů se z HTTPS začínal pomalu stávat standard a důkaz, „že na to mají.“
Google používá šifrované spojení pro všechny své hlavní služby. Samozřejmostí je také ověření identity serveru pomocí certifikátu od důveryhodné autority.
Jenže Google, Facebook nebo třeba Twitter nestačí. Lidé z EFF si správně uvědomili, že šifrovaný by měl být prostě každý web. Serverový výkon za poslední roky opět poskočil vzhůru, v tom by tedy problém už být nemusel – zvláště u relativně malých webů, ale komplikací může být obtížnější nasazení šifrování a především cena certifikátu vydaného důvěryhodnou autoritou, která ověřuje identitu serveru. Internet je totiž plný webů, které sice nabízejí šifrované spojení HTTPS, nicméně jejich autoři si nepořídili certifikát třeba od VeriSignu, Thawte a dalších vydavatelů, které jako ty důvěryhodné vede i operační systém a prohlížeč.
Pokud má tedy HTTPS nahradit HTTP, je třeba zároveň proměnit důvěryhodné certifikáty ve veřejnou službu, která bude zdarma. EFF pochopitelně nemá tu moc, aby docílila třeba toho, že tu vznikne nějaká obří univerzální certifikační autorita financovaná podobným způsobem jako třeba ICANN, který koordinuje doménový a IP systém celého internetu. A proto na to šla EFF trošku jinak.
Let’s Encrypt nabídne certifikáty zdarma
Aktivisté z Electronic Frontier Foundation se spojili se společnostmi Mozilla, Cisco, Akamai, IdenTrust a s výzkumníky Michiganské univerzity a začali vyvíjet projekt Let’s Encrypt. Skládá se ze dvou částí. Jednak to bude univerzální certifikační autorita, která bude nabízet webům certifikáty zcela zdarma, a jednak to bude nástroj pro velmi snadnou instalaci a nastavení HTTPS na (přinejmenším linuxových) webových serverech.
Nasazení HTTPS a certifikátu na linuxovém serveru podle Let's Encrypt. Stačí dva příkazy v terminálové konzoli.
Suma sumárum, webový správce, třeba právě provozovatel malého virtuálního serveru (VPS), který zdaleka neovládá pokročilé nastavení Apache aj., spustí v terminálu jeden prostý příkaz a vše se nastaví za něj. Za nic nezaplatí, vše bude zdarma a financované samotnými zapojenými partnery.
Ukázka snadného nasazení Let's Encrypt na linuxovém serveru
Pak už bude záležet pouze na jednání s autory webových prohlížečů a operačních systémů, zdali vezmou novou certifikační autoritu na milost a její kořenové certifikáty budou součástí každého počítače.
Ostrý provoz v létě 2015
Projekt Let’s Encrypt by měl v ostrém provozu odstartovat v létě příštího roku a snad by mohl pomoci k masivnějšímu rozšíření důvěryhodného HTTPS napříč malými weby. Současní komerční poskytovatelé certifikátů z této zprávy asi příliš velkou radost mít nebudou, ale podobné projekty jsou asi jedinou možností, jak se pokusit masivně rozšířit šifrované spojení napříč internetem. Tedy alespoň do doby, něž bude důvěryhodný HTTPS certifikát automatickou součástí každého pronájmu domény a jeho nasazení bude předpokládat každý webový server počínaje Apachem a Nginxem a konče IIS od Microsoftu.
Zlí jazykové pochopitelně namítnou, že i šifrované spojení HTTPS čas od času objeví nějakého toho kostlivce ve skříni – letos na jaře to byla třeba kauza bezpečnostní chyby Heartbleed v knihovně OpenSSL, která přesně toto šifrování realizuje na linuxových systémech, ale alespoň něco je lepší než nic a masivní šifrování webu geometrickou řadou zvýší naše soukromí především před všemožnými script kiddies, kteří nakonec stojí za většinou útoků na internetu.
