Certbotin kehitystyön tuloksia

Minulle myönnettiin viime vuonna apuraha Let’s Encryptin laajimmin käytetyn asiakasohjelman, Certbotin kehittämiseen tarvittaviin laitteistohankintoihin. Tuen turvin kehitys on sujunut joutuisasti ja merkittäviä käytettävyysparannuksia ja lisäominaisuuksia on saatu toteutettua.

Certbot eroaa muista Let’s Encryptin, tai tarkemmin otettuna ACME-protokollaa käyttävien luotettujen sertifikaatin myöntäjien (Certificate Authority) asiakasohjelmista siten, että Certbot myös konfiguroi palvelinohjelmistot käyttämään HTTPS-protokollaa turvallisin oletusasetuksin. Certbotilla on miljoonia käyttäjiä kansainvälisesti ja vaihtelevien käyttöjärjestelmäympäristöjen sekä konfiguraatioskeemojen takia tämän kunnianhimoisen lupauksen lunastaminen vaatii merkittävää ja pitkäkestoista kehitystyötä. Automaattinen konfiguraatio on kuitenkin oleellisessa roolissa turvallisten standardien laajamittaisen adaptaation saavuttamisessa.

Merkittävimmistä apurahan avulla toteutetuista parannuksista mainittakoon käyttöjärjestelmätuen parantuminen Apache-liitännäisen osalta eritoten OpenSUSE, CentOS / RHEL / Fedora ja Gentoo Linux -ympäristöissä. Myös tietoturvan kannalta tärkeän, mutta haastavan HSTS-otsikkotiedon käyttäjäystävällinen ja automaattinen, vaiheittainen asennus ja ylöspäinskaalaus helpottaa merkittävästi Certbotin käyttäjien entistä turvallisempien HTTPS-konfiguraatioiden käyttöönsaattamista. Työn alla on vielä isompi lisäominaisuus joka korjaa tiettyjä yleisimpien HTTP-palvelinohjelmistojen Apachen ja Nginx:n arkkitehtuurista kumpuavia ongelmia HTTPS ja PKI -teknologioiden käytössä.

Kuluneen vuoden aikana HTTPS-pyyntöjen osuus webin osalta on noussut kuudestakymmenestä prosentista seitsemäänkymmeneenviiteen prosenttiin ja Let’s Encryptistä on tullut suurin luotettu sertifikaatteja allekirjoittava taho, tällä hetkellä myöntäen pitkälti yli miljoona X.509-sertifikaattia vuorokaudessa. Suurkiitokset Fuugin säätiölle, että olette olleet mukana tukemassa tätä kehitystä!

(Myös nämä sivut käyttävät Let’s Encryptin sertifikaattia)

Jätä kommentti