展望 2019
Let's Encrypt 在 2018 年取得了巨大成功。我们现在为超过 1.5 亿个网站提供服务,同时保持着卓越的安全性和合规性记录。
更重要的是,根据 Mozilla 的统计数据,2018 年网页加密页面加载比例从 67% 上升至 77%。这是一个惊人的变化速度!
我们感谢所有为创建更安全、更尊重隐私的网络而努力的人员和组织。
今年,我们为 Let's Encrypt 背后的法律实体 互联网安全研究小组 (ISRG) 创建了一个新网站,因为我们相信,除了 Let's Encrypt 之外,ISRG 可能还有机会帮助建立或改善对更美好互联网的访问。
虽然我们对 2018 年取得的成就感到自豪,但我们更多地将时间花在展望未来,而不是回顾过去。在我们结束 2019 年的自身规划流程之际,我们想与大家分享一些计划,包括我们感到兴奋的事情和我们将面临的挑战。我们将涵盖服务增长、新功能、基础设施和财务状况。
服务增长
Let's Encrypt 通过提供免费、易于使用且全球可用的获取证书选项来推动 HTTPS 的采用,这些证书是启用 HTTPS 所必需的。从 Let's Encrypt 公开发布之日起,网络上的 HTTPS 采用率以空前的速度增长。
我们支持的证书和唯一域名的数量持续快速增长
我们预计 2019 年将再次实现强劲增长,活跃证书数量可能达到 1.2 亿个,完全限定域名数量可能达到 2.15 亿个。您可以在我们最近更新的 统计页面 上了解更多信息。
Let's Encrypt 如此易于使用的原因之一是,我们的社区在开发适用于各种平台的客户端软件方面做出了巨大贡献。我们感谢所有参与开发超过 85 个 Let's Encrypt 客户端软件选项 的人员。对我们协议 ACME 的支持已 内置到 Apache 中,我们希望 2019 年它能进入 Nginx。
其他组织和社区也正在积极推动 HTTPS 采用,从而刺激对我们服务的 demand。例如,浏览器开始让用户更加了解与未加密的 HTTP 相关的风险(例如 Firefox、Chrome)。许多托管提供商和 CDN 正在为所有客户使用 HTTPS 提供前所未有的便利。政府机构 正在意识到加强安全措施以保护公民的必要性。媒体界正在努力 保护新闻。
新功能
在 2018 年,我们引入了 多项新功能,包括 ACMEv2 支持和通配符证书。我们为 2019 年计划了一些激动人心的功能。
我们最兴奋的功能是多视角验证。目前,当订阅者请求证书时,我们从单个网络视角验证域名控制。这是 CA 的标准做法。如果验证检查的网络路径上的攻击者可以干扰流量,他们可能会导致不应该颁发的证书被颁发。我们最担心的是 通过 BGP 劫持发生这种情况,而且由于 BGP 不会很快得到保护,我们需要找到另一种缓解措施。我们打算在 2019 年部署的解决方案是多视角验证,在这种验证中,我们将从多个网络视角(不同的自治系统)进行检查。这意味着潜在的 BGP 劫持者需要同时劫持多条路由才能成功实施攻击,这比劫持单条路由要困难得多。我们正在与普林斯顿大学一个才华横溢的研究团队合作,设计尽可能有效的多视角验证系统,并且已经在我们的测试环境中启用了部分功能。
我们还计划在 2019 年引入一个 证书透明度 (CT) 日志。所有类似 Let's Encrypt 的证书颁发机构都需要将证书提交到 CT 日志,但生态系统中没有足够的稳定日志。因此,我们正在推进运行日志的计划,所有 CA 都可以向该日志提交证书。
我们原本计划在 2018 年添加 ECDSA 根证书和中间证书,但其他优先事项最终占据了主导地位。我们希望在 2019 年实现这一目标。ECDSA 通常被认为是网络上数字签名算法的未来,因为它比 RSA 更高效。Let's Encrypt 目前会从订阅者那里签署 ECDSA 密钥,但我们会使用我们其中一个中间证书的 RSA 密钥进行签署。一旦我们有了 ECDSA 根证书和中间证书,我们的订阅者将能够部署完全是 ECDSA 的证书链。
基础设施
我们的 CA 基础设施能够每天颁发数百万个证书,并具有冗余性以确保稳定性和各种安全保护措施(包括物理和逻辑安全措施)。我们的基础设施每天还会生成和签署约 4000 万个 OCSP 响应,并每天为这些响应提供约 55 亿次服务。我们预计这些数字将在 2019 年增长约 40%。
我们的物理 CA 基础设施目前占用约 55 个机架空间单位,分布在两个数据中心,主要包括计算服务器、存储设备、HSM、交换机和防火墙。当我们颁发更多证书时,会对我们的数据库存储造成最大压力。我们定期投资于更多、更快的数据库服务器存储设备,这将在 2019 年继续进行。
我们所有的基础设施都由我们的站点可靠性工程 (SRE) 团队管理,该团队由六个人组成。SRE 员工负责构建和维护所有物理和逻辑 CA 基础设施。这些员工在很大程度上负责我们高标准的安全性和合规性。该团队还管理着一个全天候不间断的接线员安排,他们也是安全和合规性审计的主要参与者。
财务状况
我们以高效的组织为荣。在 2019 年,Let's Encrypt 将以仅 360 万美元的预算来保护网络的绝大部分。我们认为,这代表着极高的价值,为 Let's Encrypt 做出贡献是帮助创建更安全、更尊重隐私的网络的最有效方式之一。
我们的 2019 年筹款工作已经取得了良好的开端,获得了思科、OVH、Mozilla、谷歌 Chrome、电子前沿基金会和互联网协会的铂金赞助,以及 许多其他金牌和银牌赞助商。福特基金会也续签了对 Let's Encrypt 的资助。我们正在寻求额外的赞助和赠款资助,以满足 2019 年的全部需求。
支持 Let's Encrypt
我们依赖于来自用户和支持者社区的贡献,才能提供我们的服务。如果您的公司或组织想 赞助 Let's Encrypt,请发送电子邮件至 sponsor@letsencrypt.org。我们要求您在力所能及的情况下进行 个人捐助。
我们感谢行业和社区的支持,并期待继续创建更安全、更尊重隐私的网络!