Лозунг (точнее, перевод лозунга), вынесенный в заголовок, придумал не я. Он, а вместе с ним и одноименная замечательная инициатива, были объявлены в 2014-ом году организацией под названием ISRG - Internet Seсurity Research Group. Посыл, который породил и эту инициативу, и, соответственно, лозунг, очень прост - сделать интернет более защищенным. Сейчас не будем обсуждать теорию заговора, теневые правительства и всевозможные ложи. Может, все оно так и есть 🙄, но сейчас - не об этом. Для начала - немного истории, а потом - о самой инициативе.

Все знают о существовании протокола HTTP. Ну хорошо, может, и не все, может, и не знают, но пользуются, так уж точно. Еще бы, народ просто поголовно пропадает в интернете: люди читают новости, просматривают сайты, смотрят видео, скачивают разнообразную информацию, слушают музыку. И в основе всего этого, а также многого другого, лежит именно протокол HTTP. И все было бы замечательно, если бы отдельные представители человечества не имели криминальных наклонностей, а другие - не страдали паранойей.

Паранойя - страшная штука. Особенно, когда (и если) она обоснована. Проблема HTTP протокола заключается в том, что если какой-нибудь злоумышленник получит возможность перехватывать трафик пользователя интернета, то он сможет узнать об этом пользователе массу бесполезной информации. Если же приложить чуть больше усилий, то в море этих бесполезных данных можно собрать несколько драгоценных капель, как говаривали, бывало, сыскные агенты - "явки... пароли...". Найдя же такие важные данные, можно попробовать ими воспользоваться и получить выгоду. И, в этом случае, простой пользователь интернета оказывается сильно уязвим и абсолютно беззащитен.

Для того, чтобы затруднить злоумышленникам достижение их гнусных целей, трафик между пользователем и используемыми им ресурсами решили шифровать. Так появился протокол HTTPS, который-то и самостоятельным протоколом назвать нельзя - это все тот же HTTP, только использующий транспортные механизмы с шифрованием данных. Конечно, HTTPS панацеей не является и злоумышленники, поднапрягшись, нашли другие способы вытягивать и получать нужную информацию, да и теорию заговора никто не отменял. Но большинство пользователей вздохнуло с облегчением - появилась уверенность (может и иллюзорная), что явки с паролями теперь в безопасности.

Но... вот никуда без этих "но" 😞... но для того, чтобы шифрование в транспортных механизмах работало, надо чтобы люди, точнее, принадлежащие им устройства, могли зашифровывать и расшифровывать данные. Делать это научились давно - криптографии не одна сотня лет, в применении же к компьютерным технологиям - это десятки лет. Технологий за это время придумано много, и одна из самых (если не самая) широко распространенных основана на использовании пары ключей - так называемая криптосистема с открытым ключом.

Суть довольно проста. Один ключ, он называется закрытым (или приватным), должен всегда находиться у владельца пары ключей и никому никогда не показываться и не предоставляться 🤫.(А как же Роскомнадзор?! 🤯). Второй ключ, открытый (или публичный), владелец пары может отдать кому угодно, в том числе и тем, с кем захочет обмениваться зашифрованной информацией. Не будем вдаваться во все математические тонкости, но утверждается, и мы принимаем это на веру, что данные, зашифрованные публичным ключом, могут быть расшифрованы только парным ему приватным ключом.

Если сильно упрощать, то при работе по протоколу HTTPS, стороны обмениваются открытыми ключами и используют их для шифрования потока данных, отправляемых в адрес второй стороны. Для расшифровки же входящей информации каждая из сторон использует свой закрытый ключ. Далее углубляться не будем - там все по взрослому: сеансовые ключи, симметричное шифрование и еще много чего... поэтому, просто запомним факт использования пары ключей.

Шифрование, ключи - все это здорово, но у пользователей, как всегда, проснулась (или обострилась) паранойя - с какой стати я, пуп Земли и центр Вселенной, буду доверять открытому ключу, переданному мне каким-то Васей Пупкиным. Кто он такой, этот Вася Пупкин? И вообще, Вася ли это, или какой другой Пупкин? В общем, масса подозрений. И, чтобы каким-то образом снять хотя бы часть из них, решили (уж не представители того самого теневого правительства? 🤔), что надо создать специальные центры, которым будут все доверять, и которые будут проверять и подтверждать принадлежность того или иного ключа определенному пользователю (да, да, так все и будем доверять 🙃). Так появились Центры Сертификации, или Удостоверяющие Центры, а вместе с ними и сами сертификаты.

Опять же, упрощенно, схема работы выглядит так: вы обращаетесь в центр сертификации с запросом выдать вам пару ключей. Центр должен убедиться, что вы - это вы, сгенерировать парочку ключей - открытый и закрытый, и передать их вам, как правило, в виде цифрового сертификата. Надо сказать, что цифровой сертификат может содержать как только открытый ключ - такой сертификат, чаще всего, используется для передачи публичного ключа тем пользователям, от которых владелец сертификата хочет получать зашифрованную информацию; так и всю пару, вместе с закрытым ключом - такой сертификат, после получения его из удостоверяющего центра, никогда и никому не передается 🤐, так как любой, кто имеет доступ к приватному ключу, может расшифровать закодированную парным публичным ключом информацию, предназначенную исключительно для владельца пары ключей.

Вроде, система выстроилась достаточно надежная и работоспособная, и она, действительно, работает. Так в чем же дело? Почему до сих пор все еще используется открытый протокол HTTP? Почему не все перешли на защищенный HTTPS? Ведь есть же работающая система? 🤨. Ответ, как это часто бывает, кроется в жадности... или, в бедности, кому как больше нравится.

Удостоверяющий центр, прежде, чем выдать сертификат с ключами, должен убедиться, что отправивший запрос является тем, за кого себя выдает. Ведь если этого не сделать, завтра, точнее, уже сегодня, кто-то захочет сгенерировать от имени вашего банка парочку ключей, далее, обманом подсунуть их вам, и вы, думая что работаете со своим банком, радостно отдадите в руки злоумышленника все свои деньги. Ну, или, явки и пароли, то есть, в конечном итоге, все равно - деньги.💸

Более того, если эта работа по проверке будет выполнена не совсем качественно, результат будет тем же - потери. Центру, который опростоволосился, естественно, перестанут доверять. Доверие - очень ценный капитал, его трудно заработать и легко потерять. В общем, для выполнения проверки надо сделать кучу вещей, потратить деньги, а альтруистов мало, все хотят еще и прибыль получать. Понимаете, к чему все пришло?

Да, именно к этому - сертификаты продают. Причем недешево 💰. Тут следует учитывать также тот факт, что сертификат выдается лишь на определенный период времени - центр, возможно, не без оснований, считает, что чем дольше вы пользуетесь выданными ключами, тем больше шансов, что их кто-то умыкнет, или вы сами их, извините, прощелкаете. По истечении этого срока ключи становятся недействительными и надо заказывать новые. И снова платить, так как процедура вашей идентификации будет вновь проводиться с той же тщательностью. Наверное, если вы - банк, вы и не заметите этих платежей, тем более, что они - для дела. А если простой кулинарный блогер?

Естественно, ключи выдаются для разных целей: одни непосредственно используются для осуществления, например, денежных транзакций, другие просто говорят о том, что данный блог ваш и ничей другой. Соответственно, и стоят эти пары ключей по-разному, так как различается и тщательность проверки, и ответственность центра. Но и за самый простой сертификат не каждый человек готов выложить ту сумму, которую запрашивают центры сертификации. Вот до сих пор и существует незащищенный трафик.

Конечно, скажете вы, зачем защищать трафик моего блога о кулинарии... Но даже в этом случае далеко не все так однозначно, как кажется на первый взгляд. Вот вы зачем ведете блог по кулинарии? 😏 Для того, чтобы поделиться с людьми волшебными рецептами ваших любимых блюд, чтобы все попробовали приготовить, отведали и по достоинству оценили. И оценили именно вас - ведь это вы опубликовали рецепт. Но, представьте на мгновение, что у вас есть злопыхатель - а у кого их нет. И вот, этот злопыхатель купил кучу компьютерной литературы 🤓, уволился с работы, стал хакером и, в один прекрасный момент, что-то там такое умное и гнусное сделал, после чего ваш блог остался вашим, только вот рецепты теперь там все - с душком (и в прямом, и в переносном, так сказать, смысле 🤢). И вот уже все негодуют, какой вы ужасный кулинар 👎, да еще и не стесняетесь это безобразие выкладывать на всеобщее обозрение. И тогда, вместо того, чтобы пожинать плоды популярности, зарабатывая огромные деньги на рекламе от Гугла с Яндексом, пропуская через свой блог миллиардного благодарного посетителя, подарив ему печеньку, вы сидите, забившись в угол, и удаляете оскорбительные комментарии. А все потому, что не воспользовались возможностью HTTPS протокола, и не защитили принадлежность своего блога.

Надеюсь, вы понимаете, что все это - не серьезно 😉, но... в каждой шутке есть только доля... остальное же....

На самом деле, центры сертификации, конечно же, те еще стяжатели. Тем не менее, некоторые из них, неся культуру защищенного контента в массы, а большей частью - в целях саморекламы, стали выдавать наиболее простые и незначительные сертификаты после достаточно формальной проверки - совершенно бесплатно и всячески себя при этом подстраховывая. Такие сертификаты не подходят для более-менее серьезного использования - их просто не получится задействовать для этого. Но свой блог или сайт защитить уже можно. Я сам когда-то целый год пользовался таким сертификатом, полученным еще у StartSSL (точнее, StartCom, а теперь WoTrus, прошу, не сочтите за рекламу, тем более, что рекламировать-то, особо, нечего).

Итак, получив бесплатно свой самый первый сертификат, я, через некоторое время, наткнулся на упоминание об этой самой инициативе Let's Encrypt. Ее авторы поставили весьма амбициозную цель - способствовать как можно более быстрому росту зашифрованного трафика и, в конечном итоге, переводу всего интернет трафика на использование HTTPS. А для этого они решили раздавать SSL сертификаты абсолютно бесплатно, максимально упростив их получение. (Параллельно, они хотят полностью управлять миром - ведь все ключи от кулинарных блогов теперь будут у них).

Еще раз повторю, они не первые, кто стал предлагать SSL сертификаты подтверждения домена бесплатно. Но я, например, получая такой сертификат у StartSSL, потратил больше часа. Ну сделаем, конечно, скидку на неопытность, трудности перевода и так далее и тому подобное, и, тем не менее, час - это время. Тут же речь идет чуть ли не об автоматическом выпуске, перевыпуске и установке. То есть, налицо стремление сделать так, чтобы даже самый неопытный пользователь смог все сделать самостоятельно и не особо напрягаясь.

В закрытом режиме сертификаты ISRG начали раздавать в конце 2015 - начале 2016 года. Ну как, в закрытом - отправляешь заявку на участие в программе тестирования, получаешь разрешение и пользуешься. В начале апреля 2016 (а именно, 12 апреля) период бета-тестирования был завершен и сервис стал абсолютно открытым и доступным 🆓.

Какие есть особенности у этого сервиса? В чем подвох, так сказать. Ну, во-первых, он выдает только SSL сертификаты подтверждения доменного имени, то есть, доступен только самый начальный уровень. Учитывая цену, вернее, ее отсутствие, это и понятно. Во-вторых, срок действия этих сертификатов ограничен тремя месяцами. Но тут, в свою защиту, организаторы этой инициативы говорят, что при полной автоматизации процесса такой короткий срок не должен напрягать пользователя - один раз все настроил и забыл.

Остается еще один вопрос, который очень важен для простых пользователей: как все это заставить работать? Поверьте, все совсем не сложно, но я все равно об этом расскажу 😃, правда, в следующий раз 🔜...