EFF与Mozilla等联合推出Let's Encrypt项目

11/20/2014来源:安全在线人气:2606

近日EFF、Mozilla、Cisco、Akamai、IdenTrust与密西根大学研究人员共同创立了Let's Encrypt组织,这是一个免费的凭证中心(Certification Authority,CA),目的在于推动全球所有的网站都使用HTTPS加密传输,并由非营利的网际网路安全研究组织Internet Security Research Group(ISRG)负责营运。

理想情况下,每次用户访问一个网站,其应该会发生在一个安全的连接,大多数是HTTPS连接中,所以没有人能窥探用户的上网习惯,就算使用的是公共网络,比如在咖啡店或在机场也是需要这样的安全连接的。但在现实中,大多数小网站不能够供应这类的安全连接,因为需要那种数字公共密钥证书,使HTTPS连接工作涉及了相当烦人的手动过程,而且通常也不便宜

  EFF表示,虽然HTTP协议非常受欢迎,但它天生就不安全,基于HTTP协议的网站可能会受到许多问题的影响,包括帐号绑架、身份窃盗、遭到政府或企业监控与追踪,也容易被注入恶意程式。另一方面,即使大家都知道HTTPS协议比较安全,但部署HTTPS不但复杂、有许多的繁文缛节,同时还有凭证的成本。

  部署HTTPS最大的挑战来自于服务器凭证,该凭证是用来确认使用者所访问的网站是真实正确而非伪造的。然而,ISRG执行总监Josh Aas表示,即使是部署最基本的服务器凭证都充满困难,程序也不清楚,除了不容易正确部署外,更新凭证也是个难题,因此,他们决定创立Let's Encrypt。

  EFF则指出,Let's Encrypt不但能自动替任何需要的网站颁布与管理凭证,而且从HTTP转移至HTTPS就好像是执行一行命令或是按下一个键一样简单,可把原本需耗时3小时的流程缩短到20~30秒。

  很快Akamai公司、Mozilla公司、思科集团以及电子前沿基金会IdenTrust和密歇根大学的研究人员将会通过互联网安全研究小组创建一个新的证书颁发机构,免费带来Web域的数字证书。Let's Encrypt组织将会在明年夏天的时候启动该服务,新的免费凭证机构预计于2015年第二季上线,届时将基于各种开放技术打造一个安全的平台,让所有网站取得免费的凭证,而且可自动化安装与更新凭证,并公开所有已发行或废除的凭证资讯。

  目前,EFF已经通告了“HTTPS依赖于一个惊人地复杂的结构功能进行验证”的事实。这个Let's Encrypt项目旨在免费让小企业可以获得证书,而且尽可能容易地进行操作。