Det ideelle, felleskontrollerte sertifiseringssenteret, Let's Encrypt, som gir gratis sertifikater til alle berørte, oppsummerte fjorårets resultater og snakket om planene for dette året 2019.
I 2018 økte andelen sideforespørsler på HTTPS fra 67% til 77%. Let's Encrypt-prosjektet utstedt 87 millioner sertifikater som dekker rundt 150 millioner domener (For et år siden ble 61 millioner domener dekket, og veksten var forventet å nå 120 millioner innen utgangen av 2018).
I 2019 planlegger tjenesten å overvinne barrieren på 120 millioner aktive sertifikater og 215 millioner nettsteder.
Om Let's Encrypt
Prosjektet har som mål å opprette krypterte forbindelser til servere, ved å fjerne betaling, konfigurasjon av webserver, validering av e-postadministrasjon og sertifikatfornyelsesoppgaver, som er ment å redusere kompleksiteten i TLS-krypteringsoppsett og vedlikehold betydelig.
På en Linux-webserver er det tilstrekkelig å kjøre to kommandoer for å konfigurere HTTPS-kryptering og kjøp og installer sertifikater innen 20-30 sekunder.
For dette ble en programvarepakke inkludert i de offisielle Debian-programvarelagrene. Nåværende innsats fra store nettleserutviklere som Mozilla og Google for å se bort fra ukryptert HTTP, regner med tilgjengeligheten av Let's Encrypt.
Hva Let's Encrypt har for dette året
I 2019 er det planlagt å innføre et verifiseringssystem med flere elementer, der bekreftelse av autoriteten til å motta et sertifikat for et domene gjøres gjennom forskjellige verifikasjoner utført fra geografisk distribuerte delnett knyttet til forskjellige autonome systemer.
Dette systemet vil minimere risikoen ved å skaffe sertifikater for andres domener ved å utføre målrettede angrep som omdirigerer trafikk ved å erstatte fiktive ruter gjennom BGP.
Når du bruker et flerpunktsbekreftelsessystem, må en angriper samtidig oppnå omdirigering av ruter for flere autonome leverandørsystemer med forskjellige opplinker, noe som er mye mer komplisert enn å omdirigere en enkelt rute.
Av de andre planene skiller dannelsen av det offentlige magasinet Transparency of Certificate (CT) seg ut, der alle utstedte sertifikater vil gjenspeiles.
Det offentlige registeret vil gi muligheten til å foreta en uavhengig revisjon av alle endringer og handlinger i sertifiseringssenteret.
For å beskytte mot datakorrupsjon i ettertid når den lagres i Certificate Transparency-posten, brukes en Merkle Tree-struktur, der hver gren sjekker alle underliggende grener og noder for felles (tre) hashing.
Ved å ha en endelig hash, kan brukeren verifisere riktigheten av all historikk over operasjoner, samt korrektheten av tidligere tilstander i databasen (rotverifiseringshashen for databasens nye tilstand beregnes med tanke på fortiden stat).
Let's Encrypt ønsker å utvide sertifikatene
Det neste året er det også planlagt å ta i bruk rot- og mellomsertifikatene som er opprettet med ECDSA-algoritmen, mer effektive enn RSA som brukes i dag.
Planene nevner også utarbeidelse av nginx-modulen for å automatisere mottak og vedlikehold av sertifikater ved hjelp av ACME-protokollen. (Automatisk sertifikatadministrasjonsmiljø).
I fjor var en lignende modul allerede inkludert i Apache httpd.
La oss kryptere nåværende serverinfrastruktur behandler omtrent 5.5 billioner forespørsler per dag. I 2019 forventes en økning på 40% i last.
Teamet er lokalisert i to datasentre. Servere, lagring, HSM, brytere og brannmurer opptar 55 enheter i stativer.
Infrastrukturen vedlikeholdes av et team på seks ingeniører som er fast ansatt. I 2019 er det planlagt å innføre raskere lagringssystemer for servere med DBMS.
Det anslåtte budsjettet for 2019 vil være $ 3.6 millioner, som er $ 600,000 2018 mer enn XNUMX-budsjettet.
Midlene samles først og fremst gjennom økonomisk støtte fra store sponsorer som Cisco, OVH, Mozilla, Google Chrome, Electronic Frontier Foundation og Internet Society.
Noen måtte betale det, tilsynelatende er det en investering dette.