皇上,还记得我吗?我就是1999年那个Linux伊甸园啊-----24小时滚动更新开源资讯,全年无休!

Let’s Encrypt 2019:保持强劲增长,并带来振奋人心的新功能

作为备受欢迎的安全证书颁发机构,在座的各位对 Let’s Encrypt 应该不会陌生。如今的互联网越来越不安全,各种地下黑产盛行,个人隐私不断被暴露,垃圾短信和骚扰电话接踵而来,互联网安全成为了我们最关心,同时也是最“无能为力”的心头之事。但你是否知道,我们越来越强调保护使用互联网的安全性和用户的个人隐私,背后是什么在支撑呢?如今很多网站都强制使用 HTTPS 加密协议访问,安全性有了很大的提高,最起码在数据传输的初始阶段 —— 数据包不会被劫持,保证了客户端与服务器端的通讯安全性。

Let’s Encrypt

说到 HTTPS 加密协议,就不得不提 Let’s Encrypt。Let’s Encrypt 是一家不以盈利为目的提供免费 CA 证书的机构,它旨在让全世界所有的互联网服务能够简单自动化部署加密协议,让 HTTPS 能够在所有的网站中普及。很多著名公司对其提供赞助,比如 Facebook、思科和 Mozilla 等。它是对 ACME(automated certificate management environment) 协议的实现,只要实现了 ACME 协议的客户端都可以跟它交互。

SSL 证书用于加密两点之间的数据,例如你的网络浏览器和一个网络服务器。大多数需要处理敏感信息的网站,如银行、在线商店和其他网站都需要使用 SSL 加密来保护用户通过互联网传输的数据。通常,如果网站需要支持 HTTPS 协议,网站管理员则要从 SSL 证书供应商处购买 SSL 证书,Let’s Encrypt 除外

凭借这一点,Let’s Encrypt 可谓是以一己之力为 HTTPS 的普及和推动撑起了半边天。

而在 2019 来临之际,Let’s Encrypt 项目负责人、ISRG 执行董事及前 Mozilla 雇员 Josh Aas 发文公布 了 Let’s Encrypt 的 2019 年计划,并对 2018 年做了一个简短的回顾。

Josh Aas 表示 Let’s Encrypt 的 2018 是美好的一年,目前已为超过 1.5 亿个网站提供服务,同时保持着良好的安全性和合规性记录。最重要的是,根据 Mozilla 的统计数据,加密的 Web 页面在 2018 年从 67% 增加到了 77%。这是一个十分值得骄傲的增长率。

接下来我们不妨看一下 Josh Aas 从服务增长、新特性、基础设施以及财政这几方面对 2019 的展望。

服务增长 (Service Growth)

通过提供免费、易用且全局可用的选项来获取启用 HTTPS 所需的证书,Let’s Encrypt 大力推动了 HTTPS 的采用。从 Let’s Encrypt 向公众发布之日起,Web 上的 HTTPS 采用率以前所未有的速度在发展。

Let’s Encrypt 支持的证书和唯一域 (unique domains) 数量继续快速增长:

因此,Let’s Encrypt 预计 2019 年将再次实现强劲的增长,可能会产生高达 1.2 亿的活跃证书和 2.15 亿的全称域名 (fully qualified domains)。可查看他们最近更新过的 统计信息页面 以获取更多信息。

Let’s Encrypt 易于使用的原因之一是社区已经做了很好的工作,提供了友好的使用方法,使得客户端软件适用于各种各样的平台。目前 Let’s Encrypt 支持 ACME 等众多协议,内置于 Apache 中,并会在 2019 年来到 Nginx 上。

其他组织和社区也在努力推动 HTTPS 的采用,从而刺激对 Let’s Encrypt 服务的需求。例如,浏览器开始让用户更加了解与未加密的 HTTP 相关的风险(例如  Firefox 和 Chrome)。而许多托管服务提供商和 CDN 使其所有客户都能比以往更轻松地使用 HTTPS。政府机构 也意识到需要加强安全保护三方成员。媒体界正致力于 保护新闻

新功能

2018 年,Let’s Encrypt 引入 了一些新功能 ,包括对 ACMEv2 协议和通配符证书的支持。他们亦表示计划在 2019 年推出一些更令人兴奋的功能。

我们最兴奋的功能莫过于多视角验证 (multi-perspective validation)。目前,当订阅者请求证书时,他们从单一网络角度验证域控制 —— 这是 CA 的标准做法。不过这也导致了一个问题,如果沿着网络路径进行验证检查的攻击者干扰流量,这将可能会导致颁发不应颁发的证书。而 Let’s Encrypt 最关心的是 现实中会通过 BGP 劫持而导致这种情况的发生 ,并且由于 BGP(边界网关协议)不能很快受到保护,Let’s Encrypt 必须要找到另一种缓解措施。目前,他们计划在 2019 年部署的解决方案是启用多视角验证,将从多个网络角度(不同的自治系统)进行检查。这意味着潜在的 BGP 劫持者需要同时劫持多条路线才能取得成功的攻击,这比劫持单一路线要困难得多。Let’s Encrypt 正与普林斯顿的一个研究团队合进行作,设计出最有效的多视角验证系统,并且已经在临时环境中开启了部分功能。

此外,Let’s Encrypt 还计划在 2019 年引入 证书透明度 (Certificate Transparency, CT) 日志 。所有证书颁发机构如 Let’s Encrypt 都需要向 CT 日志提交证书,但生态系统中没有足够稳定的日志。因此,他们计划打造运行一个能让所有 CA 都可提交的 log。

而在 2018 年计划添加的 ECDSA 根证书和中间证书,由于优先级的调整,最终未能完成。所以,Let’s Encrypt 希望在 2019 能实现这个目标。由于 ECDSA 比 RSA 更有效,因此通常被认为是 Web 上数字签名算法的未来。目前使用的是中间证书中的 RSA 密钥签名。而一旦 Let’s Encrypt 拥有了 ECDSA 根证书和中间件,Let’s Encrypt 的使用者就能够部署完全符合 ECDSA 的证书链。

基础设施

Let’s Encrypt 的 CA 基础架构目前支持每天发布数百万个证书,具有冗余稳定性和各种物理和逻辑安全保障。Let’s Encrypt 的基础设施每天也会生成并签署约 4000 万份 OCSP 响应,并且每天为这些响应提供大约 55 亿次的响应。预计这些数字在 2019 年将增长约 40%。

Let’s Encrypt 的物理 CA 基础架构目前占用大约 55 个机柜,分布在两个数据中心之间,主要包括计算服务器、存储、HSM、交换机和防火墙。当 Let’s Encrypt 颁发更多证书时,这会给他们的数据库带来最大的压力。他们需要经常为数据库服务器投入更多更快的存储空间,并将在 2019 年继续加大这方面的投入。

所有的基础设施均由 Let’s Encrypt 的网站可靠性工程 (SRE) 团队管理,该团队由六人组成。SRE 员工负责构建和维护所有物理和逻辑 CA 基础架构。这些员工负责提供 Let’s Encrypt 安全性和合规性的高标准效果,还执行 24/7/365 随叫随到的计划,他们是安全和合规审计的主要参与者。

财政

2019 年,Let’s Encrypt 的预算虽然目前仅为 360 万美元。但目前筹款活动的进度如期进行,思科、OVH、Mozilla、谷歌和电子前沿基金会和互联网协会以及 许多其他赞助商 都会进行捐助,他们也正在寻求额外的赞助和拨款援助,以满足 2019 年的全部需求。

最后,让我们感谢这个伟大的组织。

转自 https://www.oschina.net/news/103214/looking-forward-to-2019

分享到:更多 ()