Svaki informatički pismeniji korisnik interneta zna da prisustvo sličice zelenog katanca predstavlja simbol zaštićenog prenosa podataka između korisnika i servera kome se on obraća putem pregledača interneta. U prevodu na nešto stručniji jezik, to znači da se u datoj komunikaciji koristi protokol pod nazivom HTTPS. Reč je o varijanti standardnog HTTP (Hypertext Tranfer Protocol) protokola koja koristi šifrovanje podataka na nivou transportnog sloja (TLS, Transfer layer security) i zbog toga u akronimu nosi dodatno slovo S (Secure).

Da bi se kreirao kanal zaštićenog internet saobraćaja između korisnika i servera, potrebno je da se uspostavi svojevrsno međusobno poverenje. To poverenje se zasniva na sertifikatima koje izdaju takozvani sertifikacioni autoriteti (Certificate Authority ili skraćeno CA), a podrška za njihovu realizaciju dolazi uz pregledače interneta. Da bi HTTPS veza mogla da se smatra bezbednom, potrebno je zadovoljiti sledeće uslove:

• Korisnik mora imati poverenje u sertifikate koje nudi njegov pregledač interneta.

• Sajt koji posećujemo mora posedovati važeći sertifikat propisan od CA.

• Sertifikat identifikuje sajt sa jedinstvenim legitimnim imenom.

• CA garantuje jasna imena resursa (bez dovođenja korisnika u zabludu).

• Korisnik veruje u neprobojnost korišćene enkripcije.

Sertifikat se sastoji iz dva dela, od kojih prvi (javni ključ) šifruje podatke od korisnika prema serveru, dok se privatni ključ koristi za dešifrovanje primljenog sadržaja od servera. Kada se ti ključevi generišu, šalje se zahtev za dodeljivanje sertifikata od CA, koji u slučaju da ne postoje nikakvi problemi, stavlja digitalni potpis koji garantuje ispravnost sadržaja. I tu, naravno, dolazimo do nezaobilaznog faktora cene, koja u zavisnosti od vrste sertifikata, može da iznosi i do 1500 dolara. To je jedan od razloga zašto je po statistici iz juna 2016. godine bilo tek 10% sajtova (po servisu Alexa za milion najposećenijih veb lokacija) koji su standardno podržavali ovaj protokol. Postojalo je pravilo da za enkripcijom posežu samo oni koji imaju dovoljno novca, ili zbog prirode posla moraju da obezbede maksimalnu zaštitu svojim posetiocima. Svi ostali koriste klasični HTTP koji je veoma jednostavno presresti i analizirati, i tako dobiti informacije o korisniku resursa. Trebalo je da prođe zaista mnogo godina dok se neko nije dosetio da je bez većih problema moguće organizovati sistem koji će deliti besplatne sertifikate svim zainteresovanima. I tako dolazimo do glavnog heroja naše priče, koji se zove Let’s Encrypt.

Princip funkcionisanja

Let’s Encrypt je sertifikacioni centar stvoren sa namerom da omogući besplatnu enkripciju podataka za veb sajtove. Iza njega stoje mnoga velika imena internet sveta kao što su: Akamai Technologies, Cisco Systems, Electronic Frontier Foundation, Mozilla Foundation, Linux Foundation, IdenTrust, kao i nekoliko američkih visokoškolskih institucija. Za početak praktične implementacije projekta, može se smatrati 28. jun 2015. godine, kada je aktiviran njihov korenski RSA sertifikat i smešten na HSM (Hardware Security Module) uređaje koji čuvaju važne podatke i odvojeni su od ostatka mreže.

U svrhu automatizacije dodeljivanja sertifikata, koristi se protokol pod nazivom ACME (Automated Certificate Management Environment) koji prilikom zahteva servera za sertifikatom izvodi niz operacija provere vlasništva nad adresiranim domenom, i to preko različitih mrežnih putanja, kako bi se izbegle potencijalne zloupotrebe. Sam protokol ACME funkcioniše putem dokumenata u formatu JSON, koji se prenose putem HTTPS konekcije.

Definitivno najjednostavniji način da se obezbedi ova vrsta enkripcije je da koristite hosting kod provajdera koji je ugradio podršku za Let’s Encrypt u kontrolni panel svog CMS servisa. Trenutno se na stranici projekta nalazi spisak od preko stotinu firmi sa takvom uslugom, a taj broj će narednih meseci svakako biti u konstantnom porastu. U slučaju da ne postoji takva vrsta usluge, moguće je koristiti Certbot klijent koji će dostavljati sertifikat do servera, i to u takozvanom ručnom režimu, koji je potrebno ponavljati nakon isteka važenja sertifikata. Za sada klijenti postoje samo za Unix-olike (Linux, Mac OS X, BSD) operativne sisteme, na kojima je instalirana podrška za Python 2.6 ili 2.7. Najveći broj novijih Linux distribucija dolazi sa ugrađenom klijentskom podrškom za Let’s Encrypt, a ukoliko to nije slučaj, ista se postiže jednostavnim tekstualnim komandama:

$ git clone https://github.com/letsencrypt/letsencrypt

$ cd letsencrypt

$ ./letsencrypt-auto -help

Reč je o kodu pisanom u programskom jeziku Python koji automatizuje preuzimanje svih potrebnih paketa i instalira ih na lokalnom računaru. Navedeni kod je potrebno pokrenuti iz režima administratorskih prava. Klijentski program od korisnika traži adresu sajta, adresu elektronske pošte (potrebna zbog eventualnog otklanjanja problema) i eksplicitnu potvrdu da je HTTPS prenos obavezan ili je moguće njegovo korišćenje uz HTTP. Počinje proces registracije čije korake možemo pratiti kroz prozor procesora komandne linije. Nakon završenog procesa, generisani ključevi se smeštaju u okviru lokalnog fajl sistema.

Kao što se može primetiti iz priloženog grafikona, prvi trend rasta broja izdatih sertifikata, beleži se od početka februara prošle godine. U aprilu projekat izlazi iz beta faze. Broj sertifikata beleži konstantni rast, i u septembru prelazi cifru od deset miliona. Krajem januara ove godine, broj izdatih sertifikata je prešao cifru koja zaslužuje poštovanje: 25 miliona primeraka. Ovako visoku stopu rasta skoro je nemoguće održati, ali je jasno da je projekat zaživeo punom snagom.

Često postavljano pitanje u vezi sa servisom Let’s Encrypt, odnosi se na važenje izdatih sertifikata za rok od devedeset dana, što neupućenim korisnicima može da izgleda kratko. Međutim, treba znati da danas skoro trećina TLS saobraćaja počiva na sertifikatima sa rokom trajanja do tri meseca. To za sobom povlači potrebu za automatizacijom procesa dobijanja sertifikata, kako bi se administratori oslobodili čestog slanja zahteva za njihovo odobrenje. Kraći vek trajanja pokazuje svoje pozitivne strane u situacijama kada dolazi do eventualnog neplanskog pojavljivanja kompromitovanih sertifikata. Klijentski program koji smo pominjali, omogućuje da se ova procedura automatizuje.

Jedan od praktičnih razloga za prelazak na HTTPS, odnosi se i na činjenicu da Google prilikom indeksacije sadržaja već nekoliko godina daje prednost sajtovima koji obezbeđuju šifrovanu komunikaciju između korisnika interneta i veb stranica. Osim toga, počevši od 56. verzije pregledača interneta Chrome iz januara ove godine, sajtovi koji ne podržavaju HTTPS, označeni su simbolom informacije (slovo u krugu) i tekstom da su nebezbedni (Not secure), dok bi se uskoro taj simbol mogao zameniti crvenim znakom upozorenja. Jasno je da će to vrlo obeshrabrujuće delovati na posetioce takvih sajtova, pa će primorati administratore da pređu na upotrebu TLS sertifikata, a to će u najvećem broju slučajeva biti upravo Let’s Encrypt.

Nedostaci

Da li je Let’s Encrypt univerzalno rešenje za sve muke u vezi sa šifrovanim internet saobraćajem? S obzirom na to da je reč o besplatnom servisu, korisnici neće moći da se obraćaju službi pomoći, tražeći od njih asistenciju u rešavanju potencijalnih problema. Dalje, njihov sertifikat garantuje jedino validnost domena (DV, Domain validation), dok klasični platni servisi najčešće nude širi spektar usluga za subjekte orijentisane na poslovnu primenu. Pošto ne postoji provera kompanije vlasnika domena, Let’s Encrypt će često koristiti internet prevaranti, kako bi neoprezne korisnike ubedili da se nalaze na ispravnoj adresi. Ne postoji ni finansijska nadoknada za eventualnu štetu nastalu zbog greške izdavača sertifikata, koja kod komercijalnih servisa može da iznosi i preko milion dolara. Ukoliko sajt poseduje poddomene, imaćemo ograničene mogućnosti korišćenja takozvanih džoker znakova (wildcards), koji obezbeđuju pokrivenost TLS enkripcijom. Naravno, u pitanju su usluge okrenute biznisu koje kod drugih provajdera koštaju stotine dolara.

Iz svega navedenog se može zaključiti da je upotreba servisa u poslovne svrhe prilično diskutabilna (ali ne i nemoguća), i da od njega najviše mogu profitirati vlasnici malih nekomercijalnih sajtova, foruma i blogova koji ne žele da izdvajaju novac za usluge ove vrste, ali će zbog trendova o kojima smo prethodno govorili, biti primorani na uvođenje HTTPS protokola. Oni korisnici čiji hosting provajderi ne podržavaju direktno Let’s Encrypt, moraće da savladavaju rad sa Linuxom (ili nekim sličnim operativnom sistemom), što može da predstavlja problem onima koji nisu dobri poznavaoci računara. Ipak, očekujemo da će u skoroj budućnosti podrška za Let’s Encrypt biti obavezna opcija kod svakog hosting provajdera. Izgleda da je napokon došlo vreme da se HTTP pošalje u penziju, i da prestane bojazan korisnika da „neko tamo” (pod uslovom da to nije NSA ili neko sličan) prati šta rade preko interneta.