O centro de certificação sem fins lucrativos e controlado pela comunidade, Let's Encrypt, que fornece certificados gratuitos para todos os interessados, resumiu os resultados do ano passado e falou sobre os planos para este ano de 2019.
Em 2018, a porcentagem de solicitações de página em HTTPS aumentou de 67% para 77%. O projeto Let's Encrypt emitiu 87 milhões de certificados cobrindo cerca de 150 milhões de domínios (Há um ano, 61 milhões de domínios foram cobertos e o crescimento deve chegar a 120 milhões até o final de 2018).
Em 2019, o serviço planeja superar a barreira de 120 milhões de certificados ativos e 215 milhões de sites.
Sobre Let's Encrypt
O projeto visa fazer conexões criptografadas com servidores, removendo o pagamento, configuração do servidor web, gerenciamento de e-mail de validação e tarefas de renovação de certificado, que se destina a reduzir significativamente a complexidade da configuração e manutenção da criptografia TLS.
Em um servidor web Linux, a execução de dois comandos é suficiente para configurar a criptografia HTTPS e adquira e instale certificados dentro de 20-30 segundos.
Para isso, um pacote de software foi incluído nos repositórios oficiais de software Debian. Os esforços atuais dos principais desenvolvedores de navegadores, como Mozilla e Google, para ignorar o HTTP não criptografado estão contando com a disponibilidade do Let's Encrypt.
O que o Let's Encrypt tem para este ano
Em 2019, está prevista a introdução de um sistema de verificação multi-elemento, no qual a confirmação da autoridade para receber um certificado de um domínio é feita através de várias verificações realizadas a partir de sub-redes distribuídas geograficamente e ligadas a diferentes sistemas autônomos.
Este sistema irá minimizar os riscos de obtenção de certificados para domínios de outras pessoas através da realização de ataques direcionados que redirecionam o tráfego através da substituição de rotas fictícias através do BGP.
Ao usar um sistema de verificação multiponto, um invasor terá que obter simultaneamente o redirecionamento de rotas para vários sistemas de provedor autônomo com diferentes uplinks, o que é muito mais complicado do que o redirecionamento de uma única rota.
Dos demais planos, destaca-se a formação da revista pública Transparência de Certificados (CT), na qual estarão refletidos todos os certificados emitidos.
O registro público proporcionará a oportunidade de conduzir uma auditoria independente de todas as mudanças e ações do centro de certificação.
Para proteger contra a corrupção de dados em retrospectiva quando armazenados no registro de Transparência do certificado, uma estrutura Merkle Tree é usada, na qual cada ramificação verifica todas as ramificações e nós subjacentes para hash de conjunto (árvore).
Ao ter um hash final, o usuário pode verificar a exatidão de todo o histórico de operações, bem como a exatidão dos estados anteriores do banco de dados (o hash de verificação de raiz do novo estado do banco de dados é calculado levando em consideração o estado anterior).
Let's Encrypt quer expandir seus certificados
No próximo ano, também está prevista a colocação em operação dos certificados raiz e intermediários criados com o algoritmo ECDSA, mais eficiente que o RSA utilizado atualmente.
Os planos também mencionam a preparação do módulo nginx para automatizar o recebimento e manutenção de certificados usando o protocolo ACME. (Ambiente de gerenciamento automático de certificados).
No ano passado, um módulo semelhante já foi incluído no Apache httpd.
A infraestrutura de servidor atual do Let's Encrypt processa aproximadamente 5.5 trilhões de solicitações por dia. Em 2019, projeta-se um aumento de 40% na carga.
A equipe está localizada em dois data centers. Servidores, armazenamento, HSMs, switches e firewalls ocupam 55 unidades em racks.
A infraestrutura é mantida por uma equipe de seis engenheiros em regime de contratação permanente. Em 2019, está prevista a introdução de sistemas de armazenamento mais rápidos para servidores com DBMS.
O orçamento projetado para 2019 será de $ 3.6 milhões, o que é $ 600,000 a mais que o orçamento de 2018.
Os fundos são levantados principalmente por meio de assistência financeira de patrocinadores importantes, como Cisco, OVH, Mozilla, Google Chrome, a Electronic Frontier Foundation e a Internet Society.
Alguém teria que pagar isso, aparentemente é um investimento isso.