Центърът за сертифициране с нестопанска цел, контролиран от общността, Let's Encrypt, която предоставя безплатни сертификати на всички заинтересовани, обобщи миналогодишните резултати и обсъди плановете за тази 2019 година.
През 2018 г. процентът на заявките за страници на HTTPS се е увеличил от 67% на 77%. Проектът Let's Encrypt издаде 87 милиона сертификата, обхващащи около 150 милиона домейни (Преди година бяха покрити 61 милиона домейни и се очакваше ръстът да достигне 120 милиона до края на 2018 г.).
През 2019 г. услугата планира да преодолее бариерата от 120 милиона активни сертификата и 215 милиона сайта.
Относно Let's Encrypt
Проектът има за цел да направи криптирани връзки към сървъри, като премахне плащането, конфигурацията на уеб сървъра, управлението на имейлите за проверка и задачите за подновяване на сертификати, което има за цел значително да намали сложността на настройката и поддръжката на TLS криптиране.
На уеб сървър на Linux изпълнението на две команди е достатъчно за конфигуриране на HTTPS криптиране и закупете и инсталирайте сертификати в рамките на 20-30 секунди.
За това в официалните хранилища на Debian е включен софтуерен пакет. Текущите усилия на големи разработчици на браузъри като Mozilla и Google да пренебрегнат нешифрования HTTP разчитат на наличието на Let's Encrypt.
Какво има Let's Encrypt за тази година
През 2019 г. се планира въвеждане на многоелементна система за проверка, при която потвърждаването на органа за получаване на сертификат за домейн се извършва чрез различни проверки, извършени от географски разпределени подмрежи, свързани с различни автономни системи.
Тази система ще сведе до минимум рисковете от получаване на сертификати за чужди домейни чрез извършване на целенасочени атаки, които пренасочват трафика чрез заместване на фиктивни маршрути чрез BGP.
Когато използва многоточкова система за проверка, нападателят ще трябва едновременно да постигне пренасочване на маршрути за няколко автономни системи за доставчици с различни връзки нагоре, което е много по-сложно от пренасочването на един маршрут.
От останалите планове се откроява формирането на публичното списание Прозрачност на сертификатите (CT), в което ще бъдат отразени всички издадени сертификати.
Публичният регистър ще предостави възможност за извършване на независим одит на всички промени и действия на сертификационния център.
За да се предпази от повреда на данните отзад, когато се съхранява в записа за прозрачност на сертификата, се използва структура на Merkle Tree, при която всеки клон проверява всички подлежащи клонове и възли за хеширане на съвместни (дървовидни).
Като има окончателен хеш, потребителят може да провери правилността на цялата история на операциите, както и коректността на миналите състояния на базата данни (коренът за проверка на корена на новото състояние на базата данни се изчислява, като се вземе предвид миналото държава).
Нека Encrypt иска да разшири своите сертификати
През следващата година се планира също така да бъдат пуснати в експлоатация коренните и междинните сертификати, създадени с алгоритъма ECDSA, по-ефективни от RSA, който се използва в момента.
Плановете също така споменават подготовката на модула nginx за автоматизиране на получаването и поддържането на сертификати, използвайки протокола ACME. (Среда за автоматично управление на сертификати).
Миналата година подобен модул вече беше включен в Apache httpd.
Нека Encrypt текущата сървърна инфраструктура обработва приблизително 5.5 трилиона заявки на ден. През 2019 г. се прогнозира 40% увеличение на товара.
Екипът е разположен в два центъра за данни. Сървъри, съхранение, HSM, ключове и защитни стени заемат 55 единици в стелажи.
Инфраструктурата се поддържа от екип от шестима инженери, които са постоянно заети. През 2019 г. се планира въвеждане на по-бързи системи за съхранение на сървъри със СУБД.
Прогнозираният бюджет за 2019 г. ще бъде 3.6 милиона долара, което е с 600,000 2018 долара повече от бюджета за XNUMX година.
Средствата се набират предимно чрез финансова помощ от големи спонсори като Cisco, OVH, Mozilla, Google Chrome, Electronic Frontier Foundation и Интернет обществото.
Някой ще трябва да го плати, очевидно това е инвестиция.