更新:2020 年 2 月 5 日

Let's Encrypt 的 CT 日志现在已包含在批准的日志列表中,可供所有公开信任的证书颁发机构使用。

今天,我们宣布了一个新的名为 Oak 的证书透明度日志。Oak 日志将由 Let's Encrypt 运营,所有公开信任的证书颁发机构都欢迎提交证书。

Sectigo 慷慨地提供资金,以支付我们运行 CT 日志的大部分成本。“Sectigo 很自豪地赞助 Let's Encrypt CT 日志。我们相信这一举措将为 CT 生态系统提供急需的加强,”Sectigo 的 CIO Ed Giaquinto 说。我们感谢他们与我们合作改进互联网安全。

证书透明度 (CT) 是一个用于记录和监控证书颁发的系统。它极大地增强了每个人监控和研究证书颁发的能力,这些功能导致了 CA 生态系统和 Web 安全的众多改进。因此,它正在迅速成为关键的互联网基础设施。Let's Encrypt 通过记录自 2015 年开始颁发以来的所有证书(到目前为止约有 5 亿个证书)来加速了 CT 的采用。

我们决定创建和运营一个 CT 日志的原因有几个。首先,运营日志与我们创建更安全、尊重隐私的网络的使命一致。我们相信透明度会提高安全性并赋予人们做出明智决策的能力。其次,运营日志有助于我们掌控自己的命运。Google Chrome 要求将所有新证书提交到两个独立的日志中,因此多个日志选项对于我们的运营至关重要。最后,Let's Encrypt 经常每天颁发超过 100 万个证书,因此我们希望设计一个针对高容量优化的 CT 日志。我们已经设计好我们的日志,以便能够处理来自所有其他公开信任的证书颁发机构的提交,以便他们也可以使用 Oak 来满足他们的记录要求。

我们的日志使用 Google 的Trillian 软件,运行在 AWS 基础设施上。我们使用 Kubernetes 进行容器编排和作业调度,并使用 AWS RDS 进行数据库管理。

我们正在提交我们的日志,以将其纳入Google ChromeApple Safari 的批准日志列表中。经过 90 天的成功监控后,我们预计我们的日志将被添加到这些信任列表中,并且更改将在随后的浏览器版本发布时传播到人们的浏览器中。

为了延续森林的主题,我们还宣布推出我们的开源 CT 监控工具,CT Woodpecker。我们使用它来监控和确保我们日志的合规性,并且我们将其开源,以便 CT 生态系统中的其他人也可以使用它。

我们感谢 Google、Sectigo、Cloudflare 和 DigiCert 也运行开放日志,我们期待为提高 Web 安全性的透明度做出贡献!

为了提供我们的服务,我们需要依靠我们用户和支持者的贡献。如果您所在的公司或组织希望赞助 Let's Encrypt,请发送电子邮件至[email protected]。我们要求您在能力范围内做出个人捐赠