作为一家正式运行的证书颁发机构,我们度过了激动人心的一年。我对我们团队和社区在 2016 年取得的成就感到无比自豪。我想分享一些关于我们如何改变、我们取得的成就以及我们学到的经验的想法。

在 2016 年初,Let's Encrypt 证书已经向公众开放不到一个月,我们当时支持大约 240,000 个有效(未过期)证书。当时这似乎很多!现在,我们经常在一天内签发那么多新证书,同时支持超过 20,000,000 个有效证书。我们最近几次在一 天内签发了超过一百万张证书。目前,我们平均每秒处理 6,700 个 OCSP 响应。我们做了很多优化工作,不得不添加一些硬件,我们的员工也经历了一些不眠之夜,但我们已经能够跟上步伐,并准备好迎接又一年的 强劲增长

Let's Encrypt certificate issuance statistics.

在过去的一年里,我们添加了许多 新功能,包括支持 ACME DNS 验证、ECDSA 签名、IPv6 和国际化域名。

2016 年初,我们的根证书尚未被任何主要的根证书程序接受。如今,我们已经被 Mozilla、Apple 和 Google 的根证书程序接受。我们即将宣布被另一个主要的根证书程序接受的消息。这些都是迈向能够作为独立的证书颁发机构运营的重要一步。你可以在这里阅读更多关于 为什么

ACME 协议用于签发和管理证书,它是 Let's Encrypt 工作的核心。在标准化轨道上公开定义并经过严格审计的规范,对我们以及我们的客户端生态系统的增长做出了重大贡献。在 2016 年,IETF ACME 工作组 在标准化 ACME 方面取得了重大进展。我们希望在 2017 年第二季度末发布最终文档,届时我们也将公布更新协议的实施计划。

为了支持我们在 2016 年看到的增长,意味着要增加员工,在过去的一年里,Internet Security Research Group (ISRG),Let's Encrypt 背后的非营利实体,从四名全职员工增加到九名。考虑到我们现在是世界上最大的证书颁发机构之一(如果不是最大的话),我们仍然是一个非常小的团队,但这是因为我们高度重视自动化,我们能够聘请优秀的人才,以及我们从 Let's Encrypt 社区获得的巨大支持。

Let's Encrypt 的存在是为了帮助创建一个 100% 加密的网络。我们自己的指标可能很有趣,但只有在它们对实现更安全、更尊重隐私的网络的进展所产生的影响方面才真正有意义。我们用来跟踪这一目标进展的指标是浏览器看到的使用 HTTPS 的页面加载百分比。根据 Firefox Telemetry 的数据,在过去的一年里,每天使用 HTTPS 的页面加载百分比从大约 39% 上升到大约 49%。我们距离一个加密程度更高的网络非常接近。我们为成为其中的一部分而感到自豪,但我们不能为所有成就都归功于我们。全球许多个人和组织已经意识到我们需要投资于一个更安全、更尊重隐私的网络,并已采取措施来保护他们自己的网站以及客户的网站。感谢所有在今年为 HTTPS 倡导或帮助人们更轻松地进行切换的人。

我们在今年学到了很多教训。当我们出现服务中断时,通常与管理快速增长的支持我们证书颁发机构的数据库有关。此外,虽然我们的大多数代码都有适当的测试,但一些小的部分没有,这导致了一些不应该发生的 事件。也就是说,我为我们及时处理事件的方式感到自豪,包括快速、透明的公开披露。

我们还从我们的客户端生态系统中学到了很多。在 2016 年初,ISRG / Let's Encrypt 提供了名为 letsencrypt 的客户端软件。我们一直都知道我们不可能生产出适用于每个 Web 服务器/堆栈的软件,但我们认为我们需要提供一个适合大多数人的客户端,并且可以作为参考客户端。在 2016 年 3 月,比我们预期的要早,很明显,我们的社区已经能够创建各种高质量的客户端,而我们的精力最好花在培养这个社区上,而不是生产我们自己的客户端。就在那时,我们决定将 我们的客户端开发移交给 电子前沿基金会 (EFF)。EFF 将该客户端重新命名为 Certbot,并且一直出色地维护和改进它,它是 许多客户端选项 之一。

对于 Let's Encrypt 和网络上的加密来说,2016 年是激动人心的一年,而 2017 年似乎注定会更加非凡。在 2016 年,构建 100% 加密网络所需的许多基础设施和计划已经开始实施或得到巩固。越来越多的托管服务提供商和 CDN 开始默认支持 HTTPS,通常无需额外费用。对于那些自己运行网站的个人和组织来说,现在比以往更容易找到他们需要的工具、服务和信息来迁移到 HTTPS。浏览器计划更新其用户界面,以便更好地反映与非安全连接相关的风险。

我们感谢我们的社区,包括我们的 赞助商,他们让我们在过去一年取得的所有成就成为可能。请考虑 参与进来 或进行 捐赠,如果您的公司或组织希望赞助 Let's Encrypt,请发送电子邮件至 sponsor@letsencrypt.org