Let's Encrypt 2019 年的一些規劃
翻了下 Let’s Encrypt 的官方部落格,其中有一篇提到了2019年的一些計劃,覺得很有趣,特此分享給大家。
Let’s Encrypt 是世界上最大、最流行、且真正免費的 CA 機構,他們對於 HTTPS 普及功不可沒。部署 HTTPS 需要購買 CA 證書,CA 機構是追求盈利的機構,不言而喻 Let’s Encrypt 對他們的衝擊有多大,而對網站擁有者來說,這就是福音了,免費、免費、真正的免費,而且其功能絲毫不比商業 CA 機構差,而且更透明。
我寫過不少關於 Let’s Encrypt 的文章,也貢獻過力量(見 https://github.com/ywdblog/certbot-letencrypt-wildcardcertificates-alydns-au 倉庫),大家可以參考我以前寫的文章。 經常在網際網路上看到很多人推銷收費證書,有的時候還是想大聲疾呼,請使用免費證書!!
在2019年的展望中,Let’s Encrypt 從四個方面做了描述,分別是增長、新特性、基礎設施、財務狀況。
增長
從整個大環境上看,根據 Mozilla 的統計,2018年加密的網頁從67%上漲到77%。從 Let’s Encrypt 的角度看,它的增長趨勢見下圖:
在 2019 年,希望啟用的證書達到1.2億,fully qualified domains(主機名+註冊域)啟用的證書希望是 2.15 億(這二個數字不一致的原因在於 SAN 證書的原因)。
Let’s Encrypt 開創性的提出了 ACME 協議,讓證書管理(申請、續期、撤銷)完全自動化,目前 Let’s Encrypt 已經有了 85 個客戶端軟體支援了。
Apache 已經直接支援 Let’s Encrypt,2019年希望 Nginx 官方也能以模組的方式直接支援。
新特性
在 2018 年,最重要的新特性就是 ACMEv2 協議的釋出,另外也支援萬用字元證書了(這個是大殺器,在功能上和傳統CA沒有任何區別了)。
在 2019 年的規劃上,主要有三個。
(1)在 2018 年,Let’s Encrypt 支援簽發 ECDSA 伺服器證書,在 2019年,其中間證書和根證書也講支援 ECDSA 簽名,從而構建完整的 ECDSA 證書鏈。
(2)Let’s Encrypt 在簽發證書的時候,會向第三方 CT log 伺服器提交日誌,但他們認為第三方的服務不夠穩定,所以在 2019 年會自己構建 Certificate Transparency (CT) log 服務,越來越成熟的 CA 機構。
(3)構建多條校驗機制,在使用者申請證書的時候,Let’s Encrypt一般使用校驗域名授權的方式校驗使用者的身份,但有潛在的安全風險,所以在2019年他們校驗的時候會通過多種機制確保申請者的身份,個人覺得這是非常棒的一個特性,不像傳統 CA 機構,由於無法人工稽核證書申請使用者身份,所以這個特效能夠避免很多安全風險。
基礎設施
不要小看 Let’s Encrypt 的基礎設施,每天能夠釋出數百萬張證書,每天要接收 4000萬次 OCSP 查詢,所以需要很好的服務能力。
他們擁有 45 個機架,其中資料庫的容量增長是比較大的。有專業的 SRE 團隊,共六個員工,相當高效的一個工程團隊。
財務
在 2019 年 facebook一次性給了 Let’s Encrypt 三年的白金贊助,當然思科、Google、Mozilla 等大型企業早就贊助他們了。
他們今年的預算是 $3.6M,可見團隊和運作模式非常高效。
而且在 2019年,他們新弄了一個網站,Internet Security Research Group (ISRG),也就是說未來 ISRG 不僅僅有 Let’s Encrypt 一個專案,他們還有更多的事業去搞,以後應該換種稱呼 Let’s Encrypt,這就是 ISRG / Let’s Encrypt。
相關文章:
歡迎關注我的公眾號(ID:yudadanwx,虞大膽的嘰嘰喳喳),一直在用心寫。
