产品咨询:4000 258 365
|
申请产品演示
|
产品咨询:4000 258 365
|
申请产品演示
|
作为备受欢迎的安全证书颁发机构,在座的各位对 let’s encrypt 应该不会陌生。如今的互联网越来越不安全,各种地下黑产盛行,个人隐私不断被暴露,垃圾短信和骚扰电话接踵而来,互联网安全成为了我们最关心,同时也是最“无能为力”的心头之事。但你是否知道,我们越来越强调保护使用互联网的安全性和用户的个人隐私,背后是什么在支撑呢?
如今很多都强制使用 https 加密协议访问,安全性有了很大的提高,最起码在数据传输的初始阶段 —— 数据包不会被劫持,保证了客户端与端的通讯安全性。
let’s encrypt
说到 https 加密协议,就不得不提 let’s encrypt。let’s encrypt 是一家不以盈利为目的提供免费 ca 证书的机构,它旨在让全世界所有的互联网服务能够简单自动化部署加密协议,让 https 能够在所有的网站中普及。很多著名公司对其提供赞助,比如 facebook、思科和 mozilla 等。它是对 acme(automated certificate management environment) 协议的实现,只要实现了 acme 协议的客户端都可以跟它交互。
ssl 证书用于加密两点之间的数据,例如你的网络浏览器和一个网络服务器。大多数需要处理敏感信息的网站,如银行、在线商店和其他网站都需要使用 ssl 加密来保护用户通过互联网传输的数据。通常,如果网站需要支持 https 协议,网站管理员则要从 ssl 证书供应商处购买 ssl 证书,let's encrypt 除外。
凭借这一点,let’s encrypt 可谓是以一己之力为 https 的普及和推动撑起了半边天。
而在 2019 来临之际,let’s encrypt 项目负责人、isrg 执行董事及前 mozilla 雇员 josh aas 了 let’s encrypt 的 2019 年计划,并对 2018 年做了一个简短的回顾。
josh aas 表示 let’s encrypt 的 2018 是美好的一年,目前已为超过 1.5 亿个网站提供服务,同时保持着良好的安全性和合规性记录。最重要的是,根据 mozilla 的统计数据,加密的 web 页面在 2018 年从 67% 增加到了 77%。这是一个十分值得骄傲的增长率。
接下来我们不妨看一下 josh aas 从服务增长、新特性、基础设施以及财政这几方面对 2019 的展望。
服务增长(service growth)
通过提供免费、易用且全局可用的选项来获取启用 https 所需的证书,let’s encrypt 大力推动了 https 的采用。从 let’s encrypt 向公众发布之日起,web 上的 https 采用率以前所未有的速度在发展。
let’s encrypt 支持的证书和唯一域(unique domains)数量继续快速增长:
因此,let’s encrypt 预计2019年将再次实现强劲的增长,可能会产生高达 1.2 亿的活跃证书和 2.15 亿的全称(fully qualified domains)。可查看他们最近更新过的以获取更多信息。
let’s encrypt 易于使用的原因之一是社区已经做了很好的工作,提供了友好的使用方法,使得客户端软件适用于各种各样的平台。目前 let’s encrypt 支持 acme 等众多协议,内置于 apache 中,并会在 2019 年来到 nginx 上。
其他组织和社区也在努力推动 https 的采用,从而刺激对 let’s encrypt 服务的需求。例如,浏览器开始让用户更加了解与未加密的 http 相关的风险(例如 和 )。而许多托管服务提供商和 cdn 使其所有客户都能比以往更轻松地使用 https。也意识到需要加强安全保护三方成员。媒体界正致力于。
新功能
2018年,let’s encrypt 引入,包括对 acmev2 协议和通配符证书的支持。他们亦表示计划在2019年推出一些更令人兴奋的功能。
我们最兴奋的功能莫过于多视角验证(multi-perspective validation)。目前,当订阅者请求证书时,他们从单一网络角度验证域控制 —— 这是 ca 的标准做法。不过这也导致了一个问题,如果沿着网络路径进行验证检查的攻击者干扰流量,这将可能会导致颁发不应颁发的证书。而 let’s encrypt 最关心的是,并且由于 bgp(边界网关协议) 不能很快受到保护,let’s encrypt 必须要找到另一种缓解措施。目前,他们计划在2019年部署的尊龙凯时官方旗舰店的解决方案是启用多视角验证,将从多个网络角度(不同的自治系统)进行检查。这意味着潜在的 bgp 劫持者需要同时劫持多条路线才能取得成功的攻击,这比劫持单一路线要困难得多。let’s encrypt 正与普林斯顿的一个研究团队合进行作,设计出最有效的多视角验证系统,并且已经在临时环境中开启了部分功能。
此外,let’s encrypt 还计划在2019年引入。所有证书颁发机构如 let’s encrypt 都需要向 ct 日志提交证书,但生态系统中没有足够稳定的日志。因此,他们计划打造运行一个能让所有 ca 都可提交的 log。
而在2018年计划添加的 ecdsa 根证书和中间证书,由于优先级的调整,最终未能完成。所以,let’s encrypt 希望在2019能实现这个目标。由于 ecdsa 比 rsa 更有效,因此通常被认为是 web 上数字签名算法的未来。目前使用的是中间证书中的 rsa 密钥签名。而一旦 let’s encrypt 拥有了 ecdsa 根证书和中间件,let’s encrypt 的使用者就能够部署完全符合 ecdsa 的证书链。
基础设施
let’s encrypt 的 ca 基础架构目前支持每天发布数百万个证书,具有冗余稳定性和各种物理和逻辑安全保障。let’s encrypt 的基础设施每天也会生成并签署约 4000 万份 ocsp 响应,并且每天为这些响应提供大约 55 亿次的响应。预计这些数字在2019年将增长约 40%。
let’s encrypt 的物理 ca 基础架构目前占用大约 55 个机柜,分布在两个数据中心之间,主要包括计算服务器、存储、hsm、交换机和防火墙。当 let’s encrypt 颁发更多证书时,这会给他们的带来最大的压力。他们需要经常为数据库服务器投入更多更快的存储空间,并将在 2019 年继续加大这方面的投入。
所有的基础设施均由 let’s encrypt 的网站可靠性工程(sre)团队管理,该团队由六人组成。sre 员工负责构建和维护所有物理和逻辑 ca 基础架构。这些员工负责提供 let’s encrypt 安全性和合规性的高标准效果,还执行 24/7/365 随叫随到的计划,他们是安全和合规审计的主要参与者。
财政
2019年,let’s encrypt 的预算虽然目前仅为360万美元。但目前筹款活动的进度如期进行,思科、ovh、mozilla、谷歌和电子前沿基金会和互联网协会以及都会进行捐助,他们也正在寻求额外的赞助和拨款援助,以满足2019年的全部需求。
最后,让我们感谢这个伟大的组织。
试用申请
