Некоммерческий центр сертификации Let's Encrypt, контролируемый сообществом., который предоставляет бесплатные сертификаты всем заинтересованным лицам, подвел итоги прошлого года и рассказал о планах на 2019 год.
В 2018 году процент запросов страниц по HTTPS увеличился с 67% до 77%. Проект Let's Encrypt выдано 87 миллионов сертификатов, охватывающих около 150 миллионов доменов (Год назад было охвачено 61 миллион доменов, а к концу 120 года ожидается рост до 2018 миллионов).
В 2019 году сервис планирует преодолеть рубеж в 120 миллионов активных сертификатов и 215 миллионов сайтов.
О Let's Encrypt
В рамках проекта направлена на создание зашифрованных соединений с серверами путем удаления задач оплаты, конфигурации веб-сервера, управления проверочной электронной почтой и обновления сертификатов, который призван значительно упростить настройку и обслуживание шифрования TLS.
На веб-сервере Linux для настройки шифрования HTTPS достаточно выполнить две команды. и приобретите и установите сертификаты за 20-30 секунд.
Для этого в официальные репозитории программного обеспечения Debian был включен программный пакет. Текущие усилия крупных разработчиков браузеров, таких как Mozilla и Google, игнорировать незашифрованный HTTP, рассчитаны на доступность Let's Encrypt.
Что Let's Encrypt предлагает в этом году
В 2019 году планируется внедрить многоэлементную систему проверки, в которой подтверждение полномочий на получение сертификата для домена осуществляется посредством различных проверок, выполняемых из географически распределенных подсетей, связанных с различными автономными системами.
Эта система позволит минимизировать риски получения сертификатов для чужих доменов за счет проведения целевых атак, перенаправляющих трафик путем подмены фиктивных маршрутов через BGP.
При использовании многоточечной системы проверки злоумышленник должен будет одновременно добиться перенаправления маршрутов для нескольких автономных систем провайдеров с разными восходящими линиями, что намного сложнее, чем перенаправление одного маршрута.
Из других планов выделяется формирование публичного журнала «Прозрачность сертификатов» (СТ), в котором будут отражены все выданные сертификаты.
Публичный реестр даст возможность проводить независимый аудит всех изменений и действий удостоверяющего центра.
Для защиты от повреждения данных в ретроспективе при хранении в записи прозрачности сертификата используется структура дерева Меркла, в которой каждая ветвь проверяет все базовые ветви и узлы на совместное (дерево) хеширование.
Имея финальный хеш, пользователь может проверить правильность всей истории операций, а также правильность прошлых состояний базы данных (проверочный хеш корня нового состояния базы данных рассчитывается с учетом прошлого состояния).
Let's Encrypt хочет расширить свои сертификаты
В следующем году также планируется ввести в действие корневой и промежуточный сертификаты, созданные с помощью алгоритма ECDSA, более эффективного, чем используемый сейчас RSA.
В планах также упоминается подготовка модуля nginx для автоматизации получения и обслуживания сертификатов с использованием протокола ACME. (Среда автоматического управления сертификатами).
В прошлом году аналогичный модуль уже был включен в Apache httpd.
Текущая серверная инфраструктура Let's Encrypt обрабатывает примерно 5.5 триллиона запросов в день. В 2019 году прогнозируется рост грузов на 40%.
Команда расположена в двух дата-центрах. Серверы, хранилища, HSM, коммутаторы и межсетевые экраны занимают 55 единиц в стойках.
Инфраструктура обслуживается командой из шести инженеров, которые работают на постоянной основе. В 2019 году планируется внедрение более быстрых систем хранения для серверов с СУБД.
Прогнозируемый бюджет на 2019 год составит 3.6 миллиона долларов, что на 600,000 тысяч долларов больше бюджета на 2018 год.
Фонды собираются в основном за счет финансовой помощи таких крупных спонсоров, как Cisco, OVH, Mozilla, Google Chrome, Electronic Frontier Foundation и Internet Society.
Кому-то придется заплатить, видимо, это вложение.