NETTVERK OG INFRASTRUKTUR

Let's Encrypt åpner for «wildcard»-sertifikater

Har tatt i bruk oppdatert protokoll.

Nå kan domeneeiere få «wildcard»-sertifikater hos Let's Encrypt.
Nå kan domeneeiere få «wildcard»-sertifikater hos Let's Encrypt. Skjermbilde: digi.no
Harald BrombachHarald BrombachNyhetsleder
15. mars 2018 - 14:54

Stadig flere nettsteder tar i bruk den sikrere HTTPS-protokollen, og mange av disse benytter gratistjenesten til Let's Encrypt til å utstede de tilhørende X.509-sertifikatene, som blant annet kan benyttes av HTTPS sammen med kryptografiprotokollen TLS.

Denne tjenesten er veldig enkel å bruke for virksomheter som bare sertifikater for ett eller noe for underdomener av hvert hoveddomene. Men på grunn av mangelen på støtte «wildcard»-sertifikater er jobben desto større dersom det er mange underdomener som skal utstyres med sertifikat. 

ACME v2

Men denne uken kunngjorde Let's Encrypt støtte for nettopp slike sertifikater, hvor man kan la sertifikatet gjelde for alle underdomener ved rett og slett å oppgi et jokertegn, tilsvarende  «*.domeneeksempel.no». Da vil sertifikatet gjelde for alle mulig underdomener til dette hoveddomenet, inkludert www.domeneeksempel.no, bilder.domeneeksempel.no, admin.domeneeksempel.no og alle andre underdomener som det kan være nyttig å bruke.

Fram til nylig har ikke standarden for administrasjon og automatisering av sertifikatutstedelsene og fornyelsene, ACME (Automated Certificate Management Environment), hatt støtte for «wildcard»-sertifikater. Men med den ganske ferske versjon 2 av standarden er dette på plass. Den nye versjonen støttes av en rekke klientverktøy, inkludert Certbot-verktøyet som Let's Encrypt anbefaler. 

For å unngå at sertifikater utstedes til andre domener enn de brukeren faktisk kontrollerer, tas det i bruk det som kalles for en «challenge». Den enkleste måten å gjøre dette på, er at ACME-klienten får beskjed om å opprette en webressurs med en viss kode under det aktuelle subdomenet. Så kan sertifikatutstederen laste ned ressursen og se om koden stemmer. 

DNS-oppføring

Men dersom sertifikatet skal gjelde for alle mulige subdomener, vil ikke en slik metode være særlig sikker. I stedet for å bevise at brukeren kontrollerer ett subdomene, må det bevises at brukeren kontrollerer hele domenet. Dette gjøre ved å opprette en «challenge» av typen DNS-01. Det vil si at brukeren må plassere en gitt kode i en TXT-oppføring i tilknytning til domenenavnoppføringen i DNS. 

Let's Encrypt har støttet denne valideringsmetoden i forbindelse med sertifikater for spesifiserte subdomener i mer enn to år allerede, men nå kan den altså også brukes i forbindelse med utstedelse av «wildcard»-sertifikater.

Les også: Gleder seg over at mesteparten av webtrafikken nå er kryptert

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.