Некомерційний сертифікований центр, який контролюється громадою, Let's Encrypt, який надає безкоштовні сертифікати всім зацікавленим, підвів підсумки минулого року та розповів про плани на 2019 рік.
У 2018 році відсоток запитів сторінок на HTTPS зріс з 67% до 77%. Проект Let's Encrypt видав 87 мільйонів сертифікатів, що охоплюють близько 150 мільйонів доменів (Рік тому було охоплено 61 мільйон доменів, і до кінця 120 року очікувалося зростання до 2018 мільйонів).
У 2019 році служба планує подолати бар’єр у 120 мільйонів активних сертифікатів та 215 мільйонів сайтів.
Про Давайте зашифруємо
Проект має на меті зробити зашифровані підключення до серверів, видаливши оплату, конфігурацію веб-сервера, перевірку електронної пошти для перевірки та завдання поновлення сертифікатів, який призначений значно зменшити складність налаштування та обслуговування шифрування TLS.
На веб-сервері Linux достатньо виконати дві команди для налаштування шифрування HTTPS та придбати та встановити сертифікати протягом 20-30 секунд.
Для цього пакет програм був включений в офіційні сховища програм Debian. Поточні зусилля великих розробників браузерів, таких як Mozilla та Google, ігнорувати незашифрований HTTP розраховують на наявність програми Let's Encrypt.
Що в програмі Let's Encrypt на цей рік
У 2019 році планується запровадити багатоелементну систему перевірки, при якій підтвердження повноважень на отримання сертифіката домену здійснюється за допомогою різних перевірок, що виконуються з географічно розподілених підмереж, пов’язаних з різними автономними системами.
Ця система дозволить мінімізувати ризики отримання сертифікатів для доменів інших людей, здійснюючи цілеспрямовані атаки, які переспрямовують трафік шляхом заміни вигаданих маршрутів через BGP.
Використовуючи багатоточкову систему перевірки, зловмиснику доведеться одночасно домогтися перемаршрутування маршрутів для декількох автономних систем провайдера з різними висхідними посиланнями, що набагато складніше, ніж перемаршрутування одного маршруту.
З інших планів виділяється формування громадського журналу Прозорість сертифікатів (КТ), в якому будуть відображені всі видані сертифікати.
Публічний реєстр надасть можливість провести незалежний аудит усіх змін та дій центру сертифікації.
Для захисту від пошкодження даних заднім числом при збереженні в записі прозорості сертифіката використовується структура дерева Меркла, в якій кожна гілка перевіряє всі основні гілки та вузли на наявність хешування набору (дерева).
Маючи остаточний хеш, користувач може перевірити правильність усієї історії операцій, а також правильність минулих станів бази даних (кореневий хеш перевірки нового стану бази даних обчислюється з урахуванням минулого держава).
Let's Encrypt хоче розширити свої сертифікати
У наступному році також планується ввести в дію кореневі та проміжні сертифікати, створені за допомогою алгоритму ECDSA, більш ефективні, ніж RSA, що використовується зараз.
У планах також згадується підготовка модуля nginx для автоматизації отримання та обслуговування сертифікатів за допомогою протоколу ACME. (Автоматичне середовище управління сертифікатами).
Минулого року подібний модуль вже був включений до Apache httpd.
Поточна серверна інфраструктура Let's Encrypt обробляє приблизно 5.5 трильйонів запитів на день. У 2019 році прогнозується збільшення вантажів на 40%.
Команда розташована у двох центрах обробки даних. Сервери, сховище, HSM, комутатори та брандмауери займають 55 одиниць у стійках.
Інфраструктуру підтримує команда з шести інженерів, які постійно працюють. У 2019 році планується впровадження більш швидких систем зберігання для серверів із СУБД.
Прогнозований бюджет на 2019 рік складе 3.6 мільйона доларів, що на 600,000 2018 доларів більше бюджету XNUMX року.
Кошти залучаються в основному за рахунок фінансової допомоги основних спонсорів, включаючи Cisco, OVH, Mozilla, Google Chrome, Electronic Frontier Foundation та Інтернет-суспільство.
Хтось повинен був би це заплатити, мабуть, це інвестиція.