Let's Encrypt 2019：保持強勁增長 並帶來振奮人心的新功能

作為備受歡迎的安全證書頒發機構，在座的各位對 Let’s Encrypt 應該不會陌生。如今的網際網路越來越不安全，各種地下黑產盛行，個人隱私不斷被暴露，垃圾簡訊和騷擾電話接踵而來，網際網路安全成為了我們最關心，同時也是最“無能為力”的心頭之事。但你是否知道，我們越來越強調保護使用網際網路的安全性和使用者的個人隱私，背後是什麼在支撐呢？

如今很多網站都強制使用 HTTPS 加密協議訪問，安全性有了很大的提高，最起碼在資料傳輸的初始階段 —— 資料包不會被劫持，保證了客戶端與伺服器端的通訊安全性。

Let’s Encrypt

說到 HTTPS 加密協議，就不得不提 Let’s Encrypt。Let’s Encrypt 是一家不以盈利為目的提供免費 CA 證書的機構，它旨在讓全世界所有的網際網路服務能夠簡單自動化部署加密協議，讓 HTTPS 能夠在所有的網站中普及。很多著名公司對其提供贊助，比如 Facebook、思科和 Mozilla 等。它是對 ACME(automated certificate management environment) 協議的實現，只要實現了 ACME 協議的客戶端都可以跟它互動。

SSL 證書用於加密兩點之間的資料，例如你的網路瀏覽器和一個網路伺服器。大多數需要處理敏感資訊的網站，如銀行、線上商店和其他網站都需要使用 SSL 加密來保護使用者通過網際網路傳輸的資料。通常，如果網站需要支援 HTTPS 協議，網站管理員則要從 SSL 證書供應商處購買 SSL 證書，Let's Encrypt 除外。

憑藉這一點，Let’s Encrypt 可謂是以一己之力為 HTTPS 的普及和推動撐起了半邊天。

而在 2019 來臨之際，Let’s Encrypt 專案負責人、ISRG 執行董事及前 Mozilla 僱員 Josh Aas 發文公佈了 Let’s Encrypt 的 2019 年計劃，並對 2018 年做了一個簡短的回顧。

Josh Aas 表示 Let’s Encrypt 的 2018 是美好的一年，目前已為超過 1.5 億個網站提供服務，同時保持著良好的安全性和合規性記錄。最重要的是，根據 Mozilla 的統計資料，加密的 Web 頁面在 2018 年從 67％ 增加到了 77％。這是一個十分值得驕傲的增長率。

接下來我們不妨看一下 Josh Aas 從服務增長、新特性、基礎設施以及財政這幾方面對 2019 的展望。

服務增長(Service Growth)

通過提供免費、易用且全域性可用的選項來獲取啟用 HTTPS 所需的證書，Let’s Encrypt 大力推動了 HTTPS 的採用。從 Let’s Encrypt 向公眾釋出之日起，Web 上的 HTTPS 採用率以前所未有的速度在發展。

Let’s Encrypt 支援的證書和唯一域(unique domains)數量繼續快速增長：

因此，Let’s Encrypt 預計2019年將再次實現強勁的增長，可能會產生高達 1.2 億的活躍證書和 2.15 億的全稱域名(fully qualified domains)。可檢視他們最近更新過的統計資訊頁面以獲取更多資訊。

Let’s Encrypt 易於使用的原因之一是社群已經做了很好的工作，提供了友好的使用方法，使得客戶端軟體適用於各種各樣的平臺。目前 Let’s Encrypt 支援 ACME 等眾多協議，內建於 Apache 中，並會在 2019 年來到 Nginx 上。

其他組織和社群也在努力推動 HTTPS 的採用，從而刺激對 Let’s Encrypt 服務的需求。例如，瀏覽器開始讓使用者更加了解與未加密的 HTTP 相關的風險（例如 Firefox 和 Chrome）。而許多託管服務提供商和 CDN 使其所有客戶都能比以往更輕鬆地使用 HTTPS。政府機構也意識到需要加強安全保護三方成員。媒體界正致力於保護新聞。

新功能

2018年，Let’s Encrypt 引入了一些新功能，包括對 ACMEv2 協議和萬用字元證書的支援。他們亦表示計劃在2019年推出一些更令人興奮的功能。

我們最興奮的功能莫過於多視角驗證(multi-perspective validation)。目前，當訂閱者請求證書時，他們從單一網路角度驗證域控制 —— 這是 CA 的標準做法。不過這也導致了一個問題，如果沿著網路路徑進行驗證檢查的攻擊者干擾流量，這將可能會導致頒發不應頒發的證書。而 Let’s Encrypt 最關心的是現實中會通過 BGP 劫持而導致這種情況的發生，並且由於 BGP（邊界閘道器協議） 不能很快受到保護，Let’s Encrypt 必須要找到另一種緩解措施。目前，他們計劃在2019年部署的解決方案是啟用多視角驗證，將從多個網路角度（不同的自治系統）進行檢查。這意味著潛在的 BGP 劫持者需要同時劫持多條路線才能取得成功的攻擊，這比劫持單一路線要困難得多。Let’s Encrypt 正與普林斯頓的一個研究團隊合進行作，設計出最有效的多視角驗證系統，並且已經在臨時環境中開啟了部分功能。

此外，Let’s Encrypt 還計劃在2019年引入證書透明度(Certificate Transparency, CT)日誌。所有證書頒發機構如 Let’s Encrypt 都需要向 CT 日誌提交證書，但生態系統中沒有足夠穩定的日誌。因此，他們計劃打造執行一個能讓所有 CA 都可提交的 log。

而在2018年計劃新增的 ECDSA 根證書和中間證書，由於優先順序的調整，最終未能完成。所以，Let’s Encrypt 希望在2019能實現這個目標。由於 ECDSA 比 RSA 更有效，因此通常被認為是 Web 上數字簽名演算法的未來。目前使用的是中間證書中的 RSA 金鑰簽名。而一旦 Let’s Encrypt 擁有了 ECDSA 根證書和中介軟體，Let’s Encrypt 的使用者就能夠部署完全符合 ECDSA 的證書鏈。

基礎設施

Let’s Encrypt 的 CA 基礎架構目前支援每天釋出數百萬個證書，具有冗餘穩定性和各種物理和邏輯安全保障。Let’s Encrypt 的基礎設施每天也會生成並簽署約 4000 萬份 OCSP 響應，並且每天為這些響應提供大約 55 億次的響應。預計這些數字在2019年將增長約 40％。

Let’s Encrypt 的物理 CA 基礎架構目前佔用大約 55 個機櫃，分佈在兩個資料中心之間，主要包括計算伺服器、儲存、HSM、交換機和防火牆。當 Let’s Encrypt 頒發更多證書時，這會給他們的資料庫帶來最大的壓力。他們需要經常為資料庫伺服器投入更多更快的儲存空間，並將在 2019 年繼續加大這方面的投入。

所有的基礎設施均由 Let’s Encrypt 的網站可靠性工程(SRE)團隊管理，該團隊由六人組成。SRE 員工負責構建和維護所有物理和邏輯 CA 基礎架構。這些員工負責提供 Let’s Encrypt 安全性和合規性的高標準效果，還執行 24/7/365 隨叫隨到的計劃，他們是安全和合規審計的主要參與者。

財政

2019年，Let’s Encrypt 的預算雖然目前僅為360萬美元。但目前籌款活動的進度如期進行，思科、OVH、Mozilla、谷歌和電子前沿基金會和網際網路協會以及許多其他贊助商都會進行捐助，他們也正在尋求額外的贊助和撥款援助，以滿足2019年的全部需求。

最後，讓我們感謝這個偉大的組織。

來源：開源中國 

更多資訊：

• [投票] 看雪2018年度最佳原創技術文章落誰家？你說了算！
  

• 再見2018，你好2019！
  

• 看雪元旦 | 致敬知識，“折扣”只為讓你更輕鬆地擁有
  

• 看雪CTF.TSRC 2018 團隊賽 第十四題『 你眼中的世界』 解題思路