Let’s Encrypt


UtfÀrdare av gratis DV-certifikat

Let’s Encrypt, som drivs av Internet Security Research Group, Ă€r en ny certifikatutfĂ€rdare, först presenterad i november 2014.

Det finns en vÀlgrundad uppfattning att kryptering Àr vÀgen framÄt för webben och annan internetbaserad kommunikation. SÀker anslutning till webbplatser mÄste gÄ frÄn undantag till norm till att bli det enda giltiga alternativet. OsÀker HTTP mÄste fasas ut och HTTP över TLS mÄste göras allestÀdes nÀrvarande. Chrome, den mest anvÀnda webblÀsaren, började i juli 2018 att visa att en osÀker anslutning inte Àr sÀker. VÄren 2019 följde Safari efter. Firefox 70, oktober 2019, visar ett överstruket hÀnglÄs vid osÀker anslutning.


Firefox 70 vid osÀker anslutning

För Firefox tippade det över, sĂ„ att HTTPS anvĂ€nds mer Ă€n HTTP, i januari 2017, och ett Ă„r senare har andelen sĂ€kra anslutningar ökat frĂ„n 50 % till 70 %, i januari 2019 78 %. LĂ„ngt ifrĂ„n alla domĂ€ner har dock ett X.509-certifikat, vilket innebĂ€r att lĂ„ngt ifrĂ„n alla webbplatser kan erbjuda sĂ€ker anslutning. Andelen webbplatser utan ett giltigt certifikat sjunker dock. Enligt WÂłTechs saknar 13,5 procent av de tiomiljoner mest besökta webbplatserna ett giltigt certifikat den 6 februari 2019. Den 1 april 2015 var det 41,4 procent. Under samma tid minskade andelen ”ogiltiga domĂ€ner” frĂ„n 43,1 till 19,3 procent, efter att ha varit uppe i 47,1 procent den 1 april 2016. WÂłTechs visar ocksĂ„ att tjugo procent av de tiomiljoner mest besökta webbplatserna anvĂ€nde HTTPS automatiskt i början av augusti 2017, och 55,1 procent den 29 september 2019. Det finns dock flera skĂ€l till att domĂ€nĂ€gare inte har skaffat certifikat för sina domĂ€ner. Det har ofta varit tekniskt svĂ„rt att skaffa och installera certifikatet, det kan – beroende pĂ„ typ av certifikat – kosta en hel del pengar, det Ă€r omstĂ€ndligt att förnya.


Internet Security Research Group (ISRG)

Josh (Joshua) Aas och Eric Rescorla, bÄda arbetande vid Mozilla, insÄg att nÄgot mÄste göras för att öka anvÀndningen av TLS. Under sommaren 2012 beslöt dessa herrar att en ny, innovativ certifikatutfÀrdare behövde grundas, och Mozilla stÀllde upp som projektets första sponsor. I maj 2013 grundades Internet Security Research Group (ISRG), och i september samma Är sammanfogades projektet med ett liknande projekt som startats av EFF och forskare vid University of Michigan, och en 501(c)(3)-ansökan skickades in. Tidiga sponsorer var ocksÄ Akamai och Cisco.

     
     
Platinasponsorer 2019: Mozilla, Cisco, EFF, OVH, Google Chrome, Internet Society och Facebook

Med projektet Let’s Encrypt försöker EFF, tillsammans med Mozilla, Akamai, Cisco, University of Michigan, Stanford Law School, CoreOS, IdenTrust, att undanröja de hinder som stĂ„r i vĂ€gen för HTTPS Everywhere – sĂ€ker anslutning överallt. Tillsammans utgör dessa organisationer Internet Security Research Group (ISRG), ett allmĂ€nnyttigt bolag (public benefit corporation) som Ă€r en skattebefriad organisation i Kalifornien, med Josh Aas (Mozilla) som VD. VĂ€rd för projektet Ă€r sedan april 2015 Linux Foundation.


The Linux Foundation Ă€r vĂ€rd för Let’s Encrypt.

ISRG:s styrelse bestÄr av följande ledamöter i auguati 2019:

  • Josh Aas (ISRG) — ISRG:s verkstĂ€llande direktör
  • Richard Barnes (Cisco)
  • Peter Eckersley (oberoende)
  • Jennifer Granick (ACLU)
  • Aanchal Gupta (Facebook)
  • J. Alex Halderman (Univ. of Michigan)
  • Pascal Jaillon (OVH)
  • Stephen Ludin (Akamai)
  • Alex Polvi (RedHat)
  • Christine Runnegar (Internet Society)
  • Laura Thomson (Mozilla)
  • Max Hunter (EFF)

DĂ€rtill har Let’s Encrypt en teknisk rĂ„dgivande styrelse:

  • Rich Salz (Akamai)
  • Joe Hildebrand (Mozilla)
  • Jacob Hoffman-Andrews (EFF)
  • Yueting Lee (Facebook)
  • J.C. Jones (Mozilla)
  • Russ Housley (oberoende)
  • Ryan Hurst (Google)
  • Stephen Kent (oberoende)
  • Karen O’Donoghue (ISOC)
  • Ivan Ristić (oberoende)

Projektet beskrivs sÄlunda:

  • Free: Anyone who owns a domain name can use Let’s Encrypt to obtain a trusted certificate at zero cost.
  • Automatic: Software running on a web server can interact with Let’s Encrypt to painlessly obtain a certificate, securely configure it for use, and automatically take care of renewal.
  • Secure: Let’s Encrypt will serve as a platform for advancing TLS security best practices, both on the CA side and by helping site operators properly secure their servers.
  • Transparent: All certificates issued or revoked will be publicly recorded and available for anyone to inspect.
  • Open: The automatic issuance and renewal protocol will be published as an open standard that others can adopt.
  • Cooperative: Much like the underlying Internet protocols themselves, Let’s Encrypt is a joint effort to benefit the community, beyond the control of any one organisation.


Let’s Encrypts sponsorer september 2019

Let’s Encrypt-projektet finansieras genom sponsring och donationer. Som nĂ€mnts tidigare, var Mozilla den första sponsorn. DĂ„ Let’s Encrypt presenterades, 18 november 2014, hade projektet fyra platinasponsorer (Mozilla, Akamai, Cisco, EFF) och en guldsponsor (IdenTrust), som kan ses pĂ„ denna arkiverade sida. Sedan dess har det tillkommit och försvunnit sponsorer, och somliga har hoppat mellan nivĂ„erna. Den första silversponsorn var Automattic, den 18 mars 2015. Intressant nog Ă€r tvĂ„ av sponsorerna, IdenTrust och Gandi, sjĂ€lva certifikatutfĂ€rdare. Gandi sponsrade dock under endast ett Ă„r. Platina innebĂ€r 350 000 U$D per Ă„r, eller 300 000 U$D per Ă„r, vid treĂ„rigt avtal. Guld innebĂ€r 150 000 U$D per Ă„r. Silver innebĂ€r 10 000–50 000 U$D per Ă„r, beroende pĂ„ hur mĂ„nga anstĂ€llda det sponsrande företaget har.


Guldsponsorer 2019: IdenTrust och Ford Foundation

  • Platinasponsorer Ă€r Mozilla, Cisco, Electronic Frontier Foundation, OVH, Google Chrome, Internet Society och Facebook.
  • Guldsponsorer Ă€r IdenTrust och Ford Foundation. I början av oktober 2015 anslöt sig Internet Society som guldsponsor pĂ„ ett Ă„r, och Ă„terkom 1 augusti 2017, för att 2019 bli platinasponsor. (Facebook ett Ă„r, dĂ€refter silver, sedan platina, Gemalto ett Ă„r, lĂ€mnade dĂ€refter)
  • Silversponsorer Ă€r eller har varit Akamai (tidigare platina), Automattic, American Library Association, Shopify, Cyon, KeyCDN (lĂ€mnar i december 2016), Infomaniak, Hostpoint, SiteGround, Sucuri, Vultr, PlanetHoster, Trail of Bits, Novatrend, Gandi, Netsparker, æ­ć·žäș‘ç‰‡çœ‘ç»œç§‘æŠ€æœ‰é™ć…Źćž (YunPian.com), Free, WPBeginner, HP Enterprise, Fastly, Duda, ReliableSite.net, Casino2k, 3CX, Sumo Logic, Tintri, Squarespace, Hawk Host, Compose (ett Ă„r), Etsy, Best VPN, ipinfo.io, Jimdo, VTEX, Uptime Robot, DigitalOcean, Zendesk, Netlify, HostPapa, Pantheon, Iperius Backup, DNSimple, æ™‚é›šć ‚ (Shiguredo), Discourse, Driving-Tests.org, Sakura Internet, Fly, DuoCircle, Feedtailor, ise Individuelle Software und Elektronik GmbH, Private Internet Access, Brave, ServerPilot, Domeneshop, Easyname, Yoast, World4You, GitHub, Umbraco, Unraid, Keenetic, Rainway, Haproxy, Datto, Axiom, SAP, Verizon Digital Media Services, MongoDB, Livesport, BestVPN.com, Nazwa.pl, Clever Cloud, GreenGeeks, Red Hat, Nabu Casa, Wix, Engine Forex, Zeit, CodeinWP, Hosting.Review, Heroku, Snipe-IT och Top10VPN.


EFF Ă€r drivande i Let’s Encrypt-projektet, platinasponsor
och utvecklare av ACME-klienten Certbot.

Let’s Encrypt utfĂ€rdar DV-certifikat utan kostnad. DV stĂ„r för domain validation, domĂ€nvalidering, den enklaste typen av validering, dĂ€r endast domĂ€nen, men inte dess Ă€gare, valideras. Att utfĂ€rda ett DV-certifikat Ă€r en enkel, helt automatisk uppgift, och dĂ€rför erbjuder vissa certifikatutfĂ€rdare DV-certifikat gratis, medan andra tar betalt, om Ă€n inte nĂ„got högre pris, utan det kan kosta sĂ„ litet som 155 kronor för ett Ă„r (Gandi, som ocksĂ„ erbjuder gratis DV). Let’s Encrypt skall dock erbjuda en ”starkare” form av DV, genom Certification Authority Authorization (CAA) och att publicera alla utfĂ€rdade certifikat i certifikatinsynsloggar.

Ett certifikat frĂ„n Let’s Encrypt skall ocksĂ„ vara enkelt att skaffa och installera, det skall kunna göras med en enda klick eller kommando. Dessutom skall certifikaten förnyas automatiskt, vilket inte endast förenklar hanteringen, utan Ă€ven eliminerar risken att en domĂ€n plötsligt har ett utgĂ„nget certifikat, dĂ€rför att Ă€garen har glömt eller inte hunnit att förnya sitt certifikat. ISRG utvecklar ocksĂ„ protokollet Automated Certificate Management Environment (ACME), som under IETF:s ledning skall bli standardiserat, för enklare hantering och integrering av Let’s Encrypt i andra produkter. Redan innan ACME Ă€r klart, anvĂ€nds det av certifikatutfĂ€rdarna Buypass, GlobalSign, Entrust Datacard och Venafi, och StartCom var pĂ„ vĂ€g att anvĂ€nda protokollet, men sedan slutade webblĂ€sare att lita pĂ„ StartCom, sĂ„ dĂ€rav vart intet. Den norska certifikatutfĂ€rdaren Buypass beskriver hur Certbot kan anvĂ€ndas för att skaffa gratis DV-certifikat kallat Buypass Go SSL, eller egentligen Buypass Class 2 CA 5 (mellanliggande certifikat). Scott Helme pĂ„pekar att det kan vara klokt att ha en utfĂ€rdare att falla tillbaka pĂ„, om Let’s Encrypt finge problem.


EFF:s ACME-klient Certbot

Let’s Encrypt stöder subjectAltName (SAN). Stöd för godtyckliga underdomĂ€ner (wildcard certificate), dĂ€r certifikatet Ă€r giltigt för alla underdomĂ€ner till domĂ€n.se, lades till den 13 mars 2018.

Att utfĂ€rda DV-certifikat innebĂ€r att man inte vet till vem certifikatet utfĂ€rdas, utöver att den som vill skaffa certifikatet kontrollerar domĂ€nen (eller servern) som certifikatet skall utfĂ€rdas för. Detta Ă€r förstĂ„s förbundet med vissa problem, och det finns certifikatutfĂ€rdare som inte alls utfĂ€rdar DV-certifikat, som DigiCert (arkiverad). (Detta gĂ€ller ej för hela DigiCert Group, som ocksĂ„ omfattar GeoTrust, Verisign och Thawte, vilkas rotcertifikat dock fasas ut under 2018 (Chrome 70 litar ej pĂ„ certifikat utfĂ€rdade av Symantecs gamla infrastruktur.), och det syns i statistiken, vilket innebĂ€r att DigiCert nu utfĂ€rdar DV-certifikat under namnen GeoTrust (med RapidSSL) och Thawte.) Gratis DV-certifikat löper en större riska att utnyttjas av illasinnade personer och organisationer. ISRG:s VD Josh Aas skrev i oktober 2015 om certifikatutfĂ€rdares eventuella roll i kampen mot nĂ€tfiske och spridning av skadliga program. Let’s Encrypt anvĂ€nde Googles Safe Browsing för att kontrollera om en domĂ€n som det ansöks om certifikat för Ă€r kĂ€nd som skadlig eller bedrĂ€glig, men slutade att göra detta i januari 2019. NĂ„gon manuell kontroll av den som ansöker om ett certifikat Ă€r inte möjlig att genomföra vid utfĂ€rdande av DV-certifikat, som sker automatiskt, vilket Ă€r vitsen med DV.

En annan certifikatutfĂ€rdare som inte utfĂ€rdade DV-certifikat var Trend Micro (TM), som den 6 januari 2016 i sin blogg publicerade en artikel om hur certifikat frĂ„n Let’s Encrypt utnyttjas för ”malvertising”, d.v.s. skadlig kod som sprids via annonser. Som den ursprungliga texten var formulerad, framstĂ€lldes Let’s Encrypt som en förutsĂ€ttning för denna illasinnade anvĂ€ndning av certifikat. Efter att Ryan Hurst publicerade ett svar pĂ„ TM:s artikel, Ă€ndrade TM sin text, sĂ„ att det framgick att det handlade om Let’s Encrypt i det diskuterade fallet, men att problemet Ă€r mer allmĂ€nt. Det Ă€r ocksĂ„ viktigt att vara medveten om att en organisationsvalidering (OV) inte garanterar att certifikaten inte anvĂ€nds för dĂ„liga syften. Men givetvis Ă€r certifikat som kan skaffas snabbt och enkelt och utan kostnad mest lockande för dem som vill lura eller skada anvĂ€ndare. Netcraft skrev i april 2017 att tusentals DV-certifikat frĂ„n Let’s Encrypt och Comodo anvĂ€nds för nĂ€tfiskesidor. Kampen mot skadliga och bedrĂ€gliga webbplatser Ă€r hĂ„rd, men den utkĂ€mpas inte genom att titta pĂ„ certifikaten, utan webbplatsernas innehĂ„ll. DĂ€r utför Google ett digert arbete med Safe Browsing, och Microsoft gör motsvarande med SmartScreen. Det finns ocksĂ„ mĂ„nga liknande tjĂ€nster frĂ„n andra utgivare, i form av webblĂ€sartillĂ€gg. Faktiskt Ă€r ocksĂ„ Microsofts SmartScreen tillgĂ€ngligt för Chrome genom Windows Defender Browser Protection, för den som önskar bĂ„de hĂ€ngslen och livrem.

Den 19 november 2015 publicerade Namecheap ett blogginlÀgg om vikten av validering (av mer Àn domÀnkontrollen). Eric Mill kommenterade det pÄ Twitter.

”Wow, @Namecheap literally posted a stream of deceptive misinformation about ‘free CAs’ and DV certs: https://blog.namecheap.com/ssl-from-namecheap-whats-the-difference/
 Super gross.”

OcksĂ„ Niklas Keller kommenterade, i ett eget blogginlĂ€gg: Comment on Namecheap’s SSL.

Detta fick Namecheap att nÄgot Àndra innehÄllet i blogginlÀgget.

OcksĂ„ GoDaddy försökte, i slutet av november 2015, att nedvĂ€rdera kostnadsfria certifikat, och nĂ€mner dĂ€rvid Let’s Encrypt. Eric Mill kommenterade det pĂ„ Twitter.

”Lovely, now @GoDaddy has published their own anti-@letsencrypt pitch: https://www.godaddy.com/web-security/free-ssl-certificate
 Some really solid FUD about free certs here.”

Den 10 december meddelade GoDaddy att de hade tagit bort den sidan.

FörutnĂ€mnde Ryan Hurst har dryftat validering och nĂ€raliggande spörsmĂ„l med Comodos dĂ„varande VD tillika grundare Melih Abdulhayoğlu. Hurst uttryckte sina tankar om DV och EV i blogginlĂ€gget Reality vs Fantasy – The DV vs EV argument. Mycket sammandraget kan man sĂ€ga att han inte anser att EV (utökad validering) ger nĂ„gra fördelar för anvĂ€ndaren över DV. En invĂ€ndning Ă€r att webblĂ€sare endast krĂ€ver att domĂ€nen som visas i adressfĂ€ltet har ett EV-certifikat för att visa den i flesta fall gröna EV-brickan, medan innehĂ„ll som kommer frĂ„n andra domĂ€ner kan anvĂ€nda alla typer av certifikat (DV, OV, EV). Opera till och med version 12 hade ett Strict EV Mode, som endast visade den gröna brickan, med ordet Betrodd, om alla anvĂ€nda certifikat var EV. I detta lĂ€ge nedgraderas mĂ„nga webbplatser med EV till en gul bricka med ordet SĂ€ker, pĂ„ grund av innehĂ„ll frĂ„n domĂ€ner med andra certifikat Ă€n EV.

I sammanhanget kan nĂ€mnas att Comodos webblĂ€sare Dragon 57–67 av odokumenterad anledning mĂ€rkte anslutningen som Inte sĂ€ker i rött, med varningstriangel, om certifikat frĂ„n Let’s Encrypt anvĂ€ndes, olikt hur anslutningen mĂ€rks dĂ„ andra DV-certifikat (som de mĂ„nga frĂ„n Comodo) mĂ€rks. I Chromium betyder Inte sĂ€ker i rött ”TĂ€nk dig för innan du fortsĂ€tter. NĂ„got Ă€r allvarligt fel med sĂ€kerheten hos den hĂ€r webbplatsanslutningen. NĂ„gon skulle kunna se uppgifter som du skickar eller fĂ„r via den hĂ€r webbplatsen.” NĂ„got tydligt rĂ„d till anvĂ€ndaren gavs ej. I Dragon 68 behandlas certifikat frĂ„n Let’s Encrypt som alla andra DV-certifikat. Denna Ă€ndring kom efter min frĂ„ga om Dragons beteende.


Comodo Dragon 57–67 gillar av okĂ€nd anledning inte konkurrenten Let’s Encrypt.


Comodo Dragon 68 visar certifikat frĂ„n Let’s Encrypt som andra DV-certifikat.

Det rĂ„der sĂ„ledes delade meningar om vĂ€rdet av mer omfattande validering Ă€n av domĂ€nkontroll. De som menar att mer omfattande validering krĂ€vs för att krypteringen skall vara till nĂ„gon nytta Ă€r de vinstdrivande certifikatutfĂ€rdarna. Nu nĂ€r man kan fĂ„ ett DV-certifikat utan kostnad frĂ„n Let’s Encrypt, och genom webbhotell och distributionsnĂ€tverk ocksĂ„ frĂ„n Comodo, Ă€r det förstĂ„s svĂ„rt att fĂ„ betalt för DV-certifikat. Vinstdrivande certifikatutfĂ€rdare trycker dĂ€rför pĂ„ vikten av mer omfattande validering, och att webblĂ€sare bör visa olika indikatorer för DV, OV och EV.


CA Security Council, fem vinstdrivande certifikatutfÀrdare

Fem av dessa certifikatutfĂ€rdare (Sectigo (tidigare Comodo CA), Entrust Datacard, GlobalSign, GoDaddy, SecureTrust (del av Trustwave)) Ă€r sammanslutna i CA Security Council (CASC), som trycker hĂ„rt pĂ„ behovet av identitet, och att webblĂ€sare bör tydligt skilja mellan Ă„ ena sidan OV och EV, och Ă„ andra sidan DV, som Ă€r identitetslöst. DigiCert var medlem av CASC, men lĂ€mnade den dĂ„ de inte tyckte om dess inriktning, med bland annat för stort fokus pĂ„ nĂ€tfiske. Att vinstdrivande certifikatutfĂ€rdare kĂ€nner sig hotade kan jag lĂ€tt förstĂ„, de stĂ„r ju till stor del utanför den nĂ€rmast hisnande ökningen av servercertifikat, och det blir inte bĂ€ttre nĂ€r Chrome – vĂ€rldens mest anvĂ€nda webblĂ€sare – tonar ned positiva sĂ€kerhetsindikatorer till hĂ€nglĂ„s och https i grĂ„tt och tar bort ”EV-brickan”.


EV frĂ„n DigiCert (överst) och DV frĂ„n Let’s Encrypt i Firefox 70

Let’s Encrypt Authority X1 utfĂ€rdade sitt första certifikat den 12 september 2015. (Let’s Encrypt Authority X2 anvĂ€nds för nĂ€rvarande icke.) DĂ„ var det inte betrott av nĂ„gon webblĂ€sare eller nĂ„got operativsystem, utan anvĂ€ndaren fick sjĂ€lv installera ISRG:s rotcertifikat ISRG Root X1. Rotcertifikatet kan hĂ€mtas hĂ€r. Den 20 oktober meddelades att certifikatet Ă€r betrott, tack vare ”korssignatur” frĂ„n IdenTrusts rotcertifikat DST Root CA X3. Som denna sida visar, har sĂ„ledes Let’s Encrypt Authority X1 tvĂ„ ”förĂ€ldrar”. Den 6 augusti 2018 meddelades att alla större rotprogram nu litar pĂ„ ISRG Root X1. Den första sidan med det första certifikatet frĂ„n Let’s Encrypt var https://helloworld.letsencrypt.org, som presenterades den 14 september 2015. SĂ„hĂ€r sĂ„g sidan ut 15 september: archive.org. DĂ„ det korssignerade Let’s Encrypt Authority X1 inte var betrott pĂ„ Windows XP, togs ett nytt mellanliggande certifikat, Let’s Encrypt Authority X3 (med X4 som reserv) fram. Detta mellanliggande certifikat Ă€r endast signerat med DST Root CA X3. Det första certifikatet signerat med Let’s Encrypt Authority X3 utfĂ€rdades den 25 mars 2016. En timme senare utfĂ€rdades det sista certifikatet signerat med Let’s Encrypt Authority X1.

Let’s Encrypts framgĂ„ngar lĂ€t inte vĂ€nta pĂ„ sig. Att mĂ„nga, som lĂ€nge hade vĂ€ntat pĂ„ att Let’s Encrypt skulle börja att utfĂ€rda certifikat, skulle”hĂ€nga pĂ„ lĂ„set” nĂ€r sĂ„ skedde, var vĂ€ntat. SĂ„ snart Let’s Encrypt gick in i den öppna betafasen, den 4 december 2015, tog utfĂ€rdandet av certifikat fart. Den 11 december hade drygt etthundratusen certifikat utfĂ€rdats. Den 3 februari 2016, alltjĂ€mt i beta, en halv miljon. En mĂ„nad senare, den 8 mars, hade en miljon certifikat utfĂ€rdats. Den 12 april lĂ€mnade Let’s Encrypt betastadiet, och anvĂ€ndningen av Let’s Encrypts certifikat (IdenTrusts rot) ökade Ă€n snabbare med början i april.

Den 15 maj anvĂ€ndes Let’s Encrypts certifikat (IdenTrusts rotcertifikat) pĂ„ en procent av de tiomiljoner mest besökta webbplatserna, vilket innebar en marknadsandel pĂ„ fem procent. Den 5 juli gick Let’s Encrypt om GlobalSign, och blev dĂ€rmed den tredje största certifikatutfĂ€rdaren, efter dĂ„varande Comodo (nuvarande Sectigo) och dĂ„varande Symantec Group. Den 19 december 2016 gick Let’s Encrypt om Symantec Group, och blev den nĂ€st största utfĂ€rdaren av servercertifikat. Den 22 mars 2018 var det sĂ„ dags att inta förstaplatsen!

Milstenen hundramiljoner certifikat nĂ„ddes den 28 juni 2017: Milestone: 100 Million Certificates Issued. Som jĂ€mförelse kan nĂ€mnas att Comodo, grundat 1998, nĂ„dde samma milsten den 8 februari 2018: Comodo CA Surpasses 100 Million Issued Website Certificates. I rĂ€ttvisans namn bör pĂ„pekas att de flesta certifikat som Comodo (nu Sectigo) utfĂ€rdar Ă€r giltiga betydligt lĂ€ngre Ă€n nitti dagar. De omsĂ€tts dĂ€rför lĂ„ngsammare Ă€n Let’s Encrypts certifikat. HĂ€r Ă€r ett Comodo-certifikat som Ă€r giltigt i hela fem Ă„r!


De mest anvÀnda rotcertifikaten 2018-03-22

Let’s Encrypt har sannerligen skakat om certifikatmarknaden! Den 12 juli 2016 anvĂ€ndes Let’s Encrypts certifikat pĂ„ tvĂ„ procent av allaÂč webbplatser, motsvarande en marknadsandel pĂ„ 9,5 procent. Den 26 september anvĂ€ndes Let’s Encrypts certifikat pĂ„ tre procent av allaÂč webbplatser, motsvarande en marknadsandel pĂ„ 13,1 procent. Den 12 november 4,0 % och den 15 december 5,0 %. En enastĂ„ende framgĂ„ng! Och det var bara början. Under hela 2017 har anvĂ€ndningen ökat stadigt, och ingen dĂ€mpning kan skönjas nu nĂ€r halva 2018 har förlupit. Den 19 maj 2018 gick IdenTrust (Let’s Encrypt) om ”None” i WÂłTechs statistik. Det innebĂ€r att av de tiomiljoner mest besökta webbplatserna Ă€r det fler som anvĂ€nder Let’s Encrypt Ă€n inget certifikat alls! Den 30 juli 2018 gick Let’s Encrypt (24,6 %) om ”Invalid Domain” (24,5 %)! Man bör dock minnas att Ă€ven om tiomiljoner kan tyckas vara ett stort antal, Ă€r det blott den lilla toppen pĂ„ ett digert isberg. Let’s Encrypt ensamt anvĂ€nds pĂ„ tiotals miljoner webbplatser, och sammantaget finns det över 1,7 miljarder webbplatser.


Symantec Encryption Everywhere

Den 15 mars 2016 annonserade Symantec Encryption Everywhere (2016), med det hedervĂ€rda mĂ„let att till 2018 öka andelen krypterade anslutningar frĂ„n tre till hundra procent, genom att erbjuda gratis DV-certifikat till webbhotell, som i sin tur kan erbjuda sina ”hotellgĂ€ster” (webbplatsĂ€gare) gratis certifikat. Hösten 2018 stĂ„r det alltjĂ€mt att ”97 Percent of Websites Today Have No Baseline Security”. Visst har det hĂ€nt en hel del sedan mars 2016, men det Ă€r till försvinnande liten del Encryption Everywheres förtjĂ€nst. Till största delen Ă€r det Let’s Encrypt som har fört webben nĂ€rmare encryption everywhere – kryptering allestĂ€des. Sectigo stĂ„r ocksĂ„ för en stor insats, inte minst genom Cloudflare, som anvĂ€nder DV-certifikat frĂ„n Sectigo för sina kunder (om de ej har annat certifikat). Encryption Everywhere har tagits över av DigiCert, som har hunnit med tvĂ„ mellanliggande EE-certifikat: Encryption Everywhere DV TLS CA - G1 (DigiCert Global Root CA) giltigt i tretton mĂ„nader och Encryption Everywhere DV TLS CA - G2 (DigiCert Global Root G2) giltigt i sex mĂ„nader. I slutet av december 2018 har sammanlagt knappt 6,4 miljoner certifikat utfĂ€rdats. Inte vad jag skulle kalla encryption everywhere. De föregicks av Symantecs Symantec Basic DV SSL CA - G1 (VeriSign Class 3 Public Primary Certification Authority - G5), vars certifikat var giltiga i knappt elva mĂ„nader och Symantec Basic DV SSL CA - G2 (VeriSign Universal Root Certification Authority), vars certifikat var giltiga i ett Ă„r. Med dessa certifikat utfĂ€rdades sammanlagt 3 456 801 lövcertifikat.

The SSL Store skriver:

”The need to encrypt the entire Internet is undeniable. Let’s Encrypt has made a noble start towards accomplishing this, but only a company with a considerable reputation and resources can truly deliver on this.”

Och detta företag ”with a considerable reputation” skulle alltsĂ„ vara Symantec, som nĂ„got senare gjorde bort sig till den grad att webblĂ€sare som Firefox och Chrome ej lĂ€ngre litar pĂ„ Symantecs rotcertifikat. Hm. Hösten 2018 kan man konstatera att Encryption Everywhere har rönt mycket liten framgĂ„ng, medan Let’s Encrypt har rönt större framgĂ„ng Ă€n nĂ„gon annan certifikatutfĂ€rdare.


Secure the Web – Let’s Encrypt

En kraftig ökning av antalet aktiva certifikat skedde i oktober 2016. Den sjĂ€tte oktober passerades sex miljoner aktiva certifikat, efter en stadig uppgĂ„ng. DĂ€refter nĂ€rmast ”exploderade” antalet aktiva certifikat: sju miljoner den tolfte oktober, tio miljoner den sjuttonde oktober! DĂ€refter har ökningen Ă„tergĂ„tt till den tidigare takten. En del av detta Ă€r nog Squarespace: ”Squarespace will soon make up more than 30% of Let’s Encrypt’s total certificate volume.” PĂ„ ett Ă„r gick anvĂ€ndningen upp frĂ„n 10,0 procent (1 juni 2017) till 20,1 procent (1 juni 2018). I juli 2018 ökade anvĂ€ndningen med 3,1 procentenheter, frĂ„n 21,8 till 24,9 procent!

MĂ„nga av de webbplatser som nu har ett certifikat frĂ„n Let’s Encrypt hade tidigare inget certifikat alls, men givetvis hade nĂ„gra av dem tidigare certifikat frĂ„n andra utfĂ€rdare. WÂłTechs visar att de flesta som byter till Let’s Encrypt (IdenTrust), byter frĂ„n Sectigo, följt av DigiCert Group, GoDaddy Group. Byte Ă„t andra hĂ„llet förekommer ocksĂ„, ehuru i betydligt mindre omfattning. MĂ„nga webbplatser som tidigare hade certifikat frĂ„n StartCom bytte till Let’s Encrypt nĂ€r det kungjordes att webblĂ€sare skulle sluta att lita pĂ„ StartCom/WoSign. Till dessa hör documentfoundation.org, documentliberation.org, libreoffice.org, xiph.org, bunkus.org, opus-codec.org, mkvtoolnix.download. ImperialViolet.org bytte frĂ„n StartCom till Comodo 2014 och frĂ„n Comodo till Let’s Encrypt 2016.


AnvÀndning av IdenTrusts rotcertifikat 2019-05-23

Att Let’s Encrypt anvĂ€nds mest pĂ„ smĂ€rre webbplatser överraskar inte. MĂ„nga av de mest besökta webbplasterna har OV- eller EV-certifikat, och hade certifikat lĂ„ngt innan Let’s Encrypt kom igĂ„ng. Den 23 maj 2019 anvĂ€nds dock Let’s Encrypt pĂ„ 58 av de tusen mest besökta webbplatserna, och 1 220 av de tiotusen mest besökta webbplatserna. Samma dag tog sig IdenTrusts rotcertifikat upp till 50,0 procent. Sedan slutet av 2018 Ă€r Let’s Encrypt mest anvĂ€nt pĂ„ de en miljon mest besökta webbplatserna. Den 23 maj 2019 stĂ„r Let’s Encrypt dĂ€r för 37,2 procent. De tretton mest besökta webbplatserna med certifikat frĂ„n Let’s Encrypt (Quora, Wordreference.com, Onlinevideoconverter.com, Mega.nz, Rutracker.org, Sourceforge.net, Lolsided.com, Wowhead.com, Rarbg.is, Nur.kz, Nyaa.si, 3dmgame.com, Pixabay.com) finns inom topp femhundra. I bilden ovan betyder Overall de tiomiljoner mest besökta webbplatserna. Den 8 oktober tog Let’s Encrypt steget in i topp hundra, dĂ„ det första LE-certifikatet för quora.com utfĂ€rdades. Under 2019 ersatte Canonical, utgivare av operativsystemet Ubuntu, EV-certifikat frĂ„n DigiCert med certifikat frĂ„n Let’s Encrypt för ubuntu.com, canonical.com och launchpad.net. MĂ„nga andra domĂ€ner som tillhör Canonical har certifikat frĂ„n Let’s Encrypt. Mozilla anvĂ€nder certifikat frĂ„n Let’s Encrypt för hacks.mozilla.org.

AnvÀndning av IdenTrusts rotcertifikat enligt W³Techs (uppdateras dagligen)


Chrome ansluten till https://helloworld.letsencrypt.org den 15 september 2015

Till en början utfÀrdades endast certifikat med 2048-bit RSA-nyckel, och SHA-256 med RSA-kryptering som signaturalgoritm. FrÄn och med 10 februari 2016 stöds Àven ECC-nycklar och ECDSA-kryptering. Ett tidigt exempel pÄ ECC-nyckel (384-bit, med RSA-kryptering) Àr detta certifikat för suche.org, utfÀrdat 10 februari 2016.

Let’s Encrypt lanserade den 15 maj 2019 sin certifikatinsynslogg, kallad Oak. Det överraskande med denna logg Ă€r att Let’s Encrypt samarbetade med Sectigo (tidigare Comodo CA), samma företag som 2015 ansökte om att registrera Let’s Encrypt, och vars systerföretag i sin webblĂ€sare Dragon (57–67) visade ”Inte sĂ€ker” i rött och föregĂ„nget av en varningstriangel för Let’s Encrypt-certifikat. Denna Ă€ndring kan ha nĂ„got att göra med Ă€garbytet. Comodo CA sĂ„ldes 2017 till Francisco Partners, och bytte 2018 namn till Sectigo.


Sectigo, tidigare Comodo CA

Flera webbhotell och distributionsnĂ€tverk (CDN), de flesta i Europa, erbjuder sina kunder certifikat frĂ„n Let’s Encrypt.

NÄgra milstolpar och hÀndelser:


Chrome ansluten till https://blog.wikimedia.org 22 juli 2016

Alla utfĂ€rdade certifikat Ă€r listade i dessa CT-loggar: Let’s Encrypt Authority X1 (1 358 780 frĂ„n 2015-09-12 till 2016-03-25), och frĂ„n och med 25 mars 2016 Let’s Encrypt Authority X3 (över 1,2 miljarder certifikat i augusti 2019).


Certifikat frĂ„n Let’s Encrypt med certifikatinsyn

LĂ€nkar:

Let’s Encrypt:

BlogginlÀgg: GitHub: IETF: EFF:
The Linux Foundation: Internet Society: Wikipedia: Övrigt: 1. Med ”alla” webbplatser menar WÂłTechs de enligt Alexa tiomiljoner mest besökta webbplatserna.