برای بسیاری از مالکان سایتها، دریافت یک گواهی دیجیتال عذابآور است! فرایند این کار، معمولاً گیجکننده و هزینهبر است، نصب درست آن دارای نکات ظریفی است و بهروزرسانی آن سخت است.
Let’s Encrypt یک مرکز گواهی دیجیتال جدید است که بر پایهی همکاری و بازبودن، بناشده است و به همگان اجازه میدهد که با یک فرایند ساده برای دامنهی خود گواهی سرور پایه بگیرند.
برای ایجاد این زیرساخت، شرکتهای Mozilla, Cisco, Akamai, Electronic Frontier Foundation, Identrust و محققین دانشگاه میشیگان تحت عنوان Internet Security Research Group همکاری میکنند.
برای درخواست یک گواهی از Let’s Encrypt یک سرور ابتدا باید به Lets Encrypt اثبات کند که مالک دامنهی موردنظر است. برای این کار، agent نصبشده روی سرور در ابتدا یک زوج کلید میسازد سپس خود را به Let’s Encrypt معرفی میکند و ادعا میکند که مالک دامنهی example.com است و کلید عمومی موردنظر خود را ارسال میکند. Let’s Encrypt پس از دریافت این درخواست یک عملیات challenge-response با سرور انجام دهد و تعدادی challenge برای آن میفرستد.
برای مثال از سرور میخواهد تا در یک مسیر خاص یک سند یا فایل با نام مشخص قرار دهد. و یا مقدار nonce ی را با کلید خصوصی متناظر با کلید عمومی ارسالشده در مرحلهی قبل امضا کند.
نرمافزار agent بعد از دیدن این challenge ها کارهای مورد درخواست Let’s Encrypt را انجام میدهد یعنی فایل موردنظر را در مسیر مشخصشده میسازد و nonce دریافتی را با کلید خصوصی ساختهشده ، امضا میکند و به سمت Let’s Encrypt ارسال میکند.
Let’s Encrypt با بررسی اقدامات انجامشده مطمئن میشود که سرور واقعاً صاحب دامنه example.com است و همچنین کلید خصوصی را در دست دارد. به این زوج کلید، زوج کلید مجاز گفته میشود.
صدور گواهی
در این مرحله ، agent با ساختن یک درخواست صدور گواهی یاCSR از Let’s Encrypt میخواهد که یک گواهی برای سایت https://example.com با کلید عمومی که در CSR قرار داده ایجاد کند و این گواهی را با کلید خصوصی آن کلید عمومی امضا میکند و کل درخواست CSR را با کلید خصوصی زوج کلید مجاز خود امضا میکند. Let’s Encrypt پس از بررسی اعتبار امضا، یک گواهینامه با کلید عمومی مورد درخواست صادر میکند و به agent میفرستد.
این مرکز گواهی دیجیتال در وضعیت beta در حال سرویس دهی به عموم میباشد.
ثبت ديدگاه