Sikkerhed

Let’s Encrypt

Let’s Encrypt, er en organisation der tilbyder gratis og automatiseret udstedelse af certifikater til webservere m.m. Organisationen der driver servicen er Internet Security Resesarch Group (ISRG) hvor EFF, Mozilla, Cisco, Akamai med flere støtter op omkring projektet. Deres budskab er at skabe et mere sikkert Internet og bryde tabuet, med at det er for dyrt at få sikkerhed på sit website.

De certifikater der udstedes via Let’s Encrypt er baseret på Domain Validering. Ved oprettelse af certifikatet, skal man kunne identificere sig med at man er ejer af domænet, som certifikatet udstedes til. Dette gør det nemmere at kunne få udstedt certifikatet, da det ikke indebærer validering via personlig henvendelse samt kommunikation via email.

Certifikatets levetid er ikke som normalt, mellem 1 og 5 år, men kun på 90 dage. Læs her på følgende link, hvorfor man har valgt 90 dage. Det gør det noget mere besværligt og kræver noget mere administration af de udstedte certifikater i forhold til normal udstedte certifikater. Dette ved organisationen omkring Let’s Encrypt godt og har derfor sat sig for at kunne automatisere udstedelse af certifikaterne.

Let’s Encrypt har udviklet et API hvor der er udviklet en række klienter som man kan automatisere udstedelse af certifikater. Organisationen er selv kommet med en række klienter til forskellige platforme og med tiden er flere 3 parts leverandører kommet med integrationer til deres API, for at gøre det nemmere at udstede certifikater.

På Windows platformen, er der lavet en klient til PowerShell. Klienten kan installeres via PowerShell Gallery, eller via Chocolatey. Husk at installere PowerShell Gallery eller Chocolatey før man kan installere PowerShell modulet. En anden klient som kan anbefales er letsencrypt-win-simple, denne køres via en kommando prompt.

Jeg har her nævnt lidt plusser og minusser ved denne løsning.

Minusser

  • Begrænset levetid, levetiden er 90 dage kontra 1 – 5 år ved andre certifikater.
  • Man kan ikke udstede wildcard certifkater endnu. Dog kan man udstede SAN hvor man kan have op til 100 FQDN i samme certifikat.

Plusser

  • Det er gratis at få udstedt certifikater til sit website.
  • Da man ikke kan benytte Wildcard, har man muligheden for at benytte SAN, Subject Alternative Names.  domæner. Her kan man tilføje flere Fully Qualified Domain Names til certifikatet, sådan at et certifikat kan håndtere flere websites. op til 100.

Let’s Encrypts hjemmeside.

Posted in Sikkerhed, Tools and tagged , , , , , .

Jørgen Hoffmeister

Skriv et svar