Trung tâm chứng nhận phi lợi nhuận do cộng đồng kiểm soát, Let's Encrypt, cung cấp chứng chỉ miễn phí cho tất cả những người có liên quan, tóm tắt kết quả năm ngoái và kế hoạch thảo luận cho năm nay 2019.
Năm 2018, tỷ lệ yêu cầu trang trên HTTPS đã tăng từ 67% lên 77%. Dự án Let's Encrypt đã cấp 87 triệu chứng chỉ bao gồm khoảng 150 triệu tên miền (Một năm trước, 61 triệu tên miền đã được phủ sóng và tăng trưởng dự kiến đạt 120 triệu vào cuối năm 2018).
Vào năm 2019, dịch vụ có kế hoạch vượt qua rào cản 120 triệu chứng chỉ đang hoạt động và 215 triệu trang web.
Giới thiệu về Let's Encrypt
Dự án nhằm mục đích tạo kết nối được mã hóa với máy chủ, bằng cách xóa thanh toán, cấu hình máy chủ web, quản lý email xác thực và các tác vụ gia hạn chứng chỉ, nhằm giảm đáng kể sự phức tạp của việc thiết lập và bảo trì mã hóa TLS.
Trên máy chủ web Linux, chạy hai lệnh là đủ để định cấu hình mã hóa HTTPS và mua và cài đặt chứng chỉ trong vòng 20-30 giây.
Để làm được điều này, một gói phần mềm đã được đưa vào kho phần mềm Debian chính thức. Những nỗ lực hiện tại của các nhà phát triển trình duyệt lớn như Mozilla và Google để bỏ qua HTTP không được mã hóa đang phụ thuộc vào tính khả dụng của Let's Encrypt.
Let's Encrypt có gì cho năm nay
Vào năm 2019, nó được lên kế hoạch giới thiệu một hệ thống xác minh đa yếu tố, trong đó việc xác nhận cơ quan có thẩm quyền nhận chứng chỉ cho một miền được thực hiện thông qua nhiều lần xác minh được thực hiện từ các mạng con được phân phối theo địa lý được liên kết với các hệ thống tự trị khác nhau.
Hệ thống này sẽ giảm thiểu rủi ro lấy chứng chỉ cho miền của người khác bằng cách thực hiện các cuộc tấn công có chủ đích làm chuyển hướng lưu lượng truy cập thông qua việc thay thế các tuyến đường hư cấu thông qua BGP.
Khi sử dụng hệ thống xác minh đa điểm, kẻ tấn công phải đồng thời định tuyến lại các tuyến đường cho một số hệ thống nhà cung cấp tự trị với các liên kết lên khác nhau, điều này phức tạp hơn nhiều so với việc định tuyến lại một tuyến đường.
Trong số các kế hoạch khác, nổi bật là việc hình thành tạp chí công khai Tính minh bạch của chứng chỉ (CT), trong đó tất cả các chứng chỉ được cấp sẽ được phản ánh.
Cơ quan đăng ký công khai sẽ tạo cơ hội để tiến hành đánh giá độc lập tất cả các thay đổi và hành động của trung tâm chứng nhận.
Để bảo vệ chống hư hỏng dữ liệu khi được lưu trữ trong bản ghi Tính minh bạch của chứng chỉ, cấu trúc Merkle Tree được sử dụng, trong đó mỗi nhánh kiểm tra tất cả các nhánh và nút cơ bản để tìm băm (cây).
Bằng cách có một băm cuối cùng, người dùng có thể xác minh tính đúng đắn của toàn bộ lịch sử hoạt động, cũng như tính đúng đắn của các trạng thái trước đây của cơ sở dữ liệu (băm xác minh gốc của trạng thái mới của cơ sở dữ liệu được tính đến trạng thái quá khứ).
Let's Encrypt muốn mở rộng các chứng chỉ của nó
Trong năm tới, nó cũng có kế hoạch đưa vào hoạt động các chứng chỉ gốc và chứng chỉ trung gian được tạo bằng thuật toán ECDSA, hiệu quả hơn RSA hiện đang được sử dụng.
Các kế hoạch cũng đề cập đến việc chuẩn bị mô-đun nginx để tự động hóa việc nhận và duy trì các chứng chỉ bằng giao thức ACME. (Môi trường quản lý chứng chỉ tự động).
Năm ngoái, một mô-đun tương tự đã được đưa vào Apache httpd.
Cơ sở hạ tầng máy chủ hiện tại của Let's Encrypt xử lý khoảng 5.5 nghìn tỷ yêu cầu mỗi ngày. Trong năm 2019, lượng hàng hóa dự kiến sẽ tăng 40%.
Nhóm nghiên cứu được đặt tại hai trung tâm dữ liệu. Máy chủ, bộ lưu trữ, HSM, thiết bị chuyển mạch và tường lửa chiếm 55 đơn vị trong giá đỡ.
Cơ sở hạ tầng được duy trì bởi một nhóm sáu kỹ sư làm việc lâu dài. Vào năm 2019, nó được lên kế hoạch giới thiệu các hệ thống lưu trữ nhanh hơn cho các máy chủ với DBMS.
Ngân sách dự kiến cho năm 2019 sẽ là 3.6 triệu đô la, cao hơn 600,000 đô la so với ngân sách năm 2018.
Số tiền này được gây quỹ chủ yếu thông qua hỗ trợ tài chính từ các nhà tài trợ lớn như Cisco, OVH, Mozilla, Google Chrome, Electronic Frontier Foundation và Internet Society.
Ai đó sẽ phải trả nó, rõ ràng đây là một khoản đầu tư.