【每日安全资讯】Let's Encrypt 2019：保持强劲增长 并带来振奋人心的新功能

作为倍受欢迎的安全证书颁发机构，在座的各位对 Let’s Encrypt 应该不会陌生。如今的互联网越来越不安全，各种地下黑产盛行，个人隐私不断被暴露，垃圾短信和骚扰电话接踵而来，互联网安全成为了我们最关心，同时也是最“无能为力”的心头之事。但你是否知道，我们越来越强调保护使用互联网的安全性和用户的个人隐私，背后是什么在支撑呢？

如今很多网站都强制使用 HTTPS 加密协议访问，安全性有了很大的提高，最起码在数据传输的初始阶段 —— 数据包不会被劫持，保证了客户端与服务器端的通讯安全性。

Let’s Encrypt

说到 HTTPS 加密协议，就不得不提 Let’s Encrypt。Let’s Encrypt 是一家不以盈利为目的提供免费 CA 证书的机构，它旨在让全世界所有的互联网服务能够简单自动化部署加密协议，让 HTTPS 能够在所有的网站中普及。很多著名公司对其提供赞助，比如 Facebook、思科和 Mozilla 等。它是对 ACME(automated certificate management environment) 协议的实现，只要实现了 ACME 协议的客户端都可以跟它交互。

SSL 证书用于加密两点之间的数据，例如你的网络浏览器和一个网络服务器。大多数需要处理敏感信息的网站，如银行、在线商店和其他网站都需要使用 SSL 加密来保护用户通过互联网传输的数据。通常，如果网站需要支持 HTTPS 协议，网站管理员则要从 SSL 证书供应商处购买 SSL 证书，Let's Encrypt 除外。

凭借这一点，Let’s Encrypt 可谓是以一己之力为 HTTPS 的普及和推动撑起了半边天。

而在 2019 来临之际，Let’s Encrypt 项目负责人、ISRG 执行董事及前 Mozilla 雇员 Josh Aas 发文公布了 Let’s Encrypt 的 2019 年计划，并对 2018 年做了一个简短的回顾。

Josh Aas 表示 Let’s Encrypt 的 2018 是美好的一年，目前已为超过 1.5 亿个网站提供服务，同时保持着良好的安全性和合规性记录。最重要的是，根据 Mozilla 的统计数据，加密的 Web 页面在 2018 年从 67％ 增加到了 77％。这是一个十分值得骄傲的增长率。

接下来我们不妨看一下 Josh Aas 从服务增长、新特性、基础设施以及财政这几方面对 2019 的展望。

服务增长(Service Growth)

通过提供免费、易用且全局可用的选项来获取启用 HTTPS 所需的证书，Let’s Encrypt 大力推动了 HTTPS 的采用。从 Let’s Encrypt 向公众发布之日起，Web 上的 HTTPS 采用率以前所未有的速度在发展。

Let’s Encrypt 支持的证书和唯一域(unique domains)数量继续快速增长：

因此，Let’s Encrypt 预计2019年将再次实现强劲的增长，可能会产生高达 1.2 亿的活跃证书和 2.15 亿的全称域名(fully qualified domains)。可查看他们最近更新过的统计信息页面以获取更多信息。

Let’s Encrypt 易于使用的原因之一是社区已经做了很好的工作，提供了友好的使用方法，使得客户端软件适用于各种各样的平台。目前 Let’s Encrypt 支持 ACME 等众多协议，内置于 Apache 中，并会在 2019 年来到 Nginx 上。

其他组织和社区也在努力推动 HTTPS 的采用，从而刺激对 Let’s Encrypt 服务的需求。例如，浏览器开始让用户更加了解与未加密的 HTTP 相关的风险（例如 Firefox 和 Chrome）。而许多托管服务提供商和 CDN 使其所有客户都能比以往更轻松地使用 HTTPS。政府机构也意识到需要加强安全保护三方成员。媒体界正致力于保护新闻。

新功能

2018年，Let’s Encrypt 引入了一些新功能，包括对 ACMEv2 协议和通配符证书的支持。他们亦表示计划在2019年推出一些更令人兴奋的功能。

我们最兴奋的功能莫过于多视角验证(multi-perspective validation)。目前，当订阅者请求证书时，他们从单一网络角度验证域控制 —— 这是 CA 的标准做法。不过这也导致了一个问题，如果沿着网络路径进行验证检查的攻击者干扰流量，这将可能会导致颁发不应颁发的证书。而 Let’s Encrypt 最关心的是现实中会通过 BGP 劫持而导致这种情况的发生，并且由于 BGP（边界网关协议） 不能很快受到保护，Let’s Encrypt 必须要找到另一种缓解措施。目前，他们计划在2019年部署的解决方案是启用多视角验证，将从多个网络角度（不同的自治系统）进行检查。这意味着潜在的 BGP 劫持者需要同时劫持多条路线才能取得成功的攻击，这比劫持单一路线要困难得多。Let’s Encrypt 正与普林斯顿的一个研究团队合进行作，设计出最有效的多视角验证系统，并且已经在临时环境中开启了部分功能。

此外，Let’s Encrypt 还计划在2019年引入证书透明度(Certificate Transparency, CT)日志。所有证书颁发机构如 Let’s Encrypt 都需要向 CT 日志提交证书，但生态系统中没有足够稳定的日志。因此，他们计划打造运行一个能让所有 CA 都可提交的 log。

而在2018年计划添加的 ECDSA 根证书和中间证书，由于优先级的调整，最终未能完成。所以，Let’s Encrypt 希望在2019能实现这个目标。由于 ECDSA 比 RSA 更有效，因此通常被认为是 Web 上数字签名算法的未来。目前使用的是中间证书中的 RSA 密钥签名。而一旦 Let’s Encrypt 拥有了 ECDSA 根证书和中间件，Let’s Encrypt 的使用者就能够部署完全符合 ECDSA 的证书链。

基础设施

Let’s Encrypt 的 CA 基础架构目前支持每天发布数百万个证书，具有冗余稳定性和各种物理和逻辑安全保障。Let’s Encrypt 的基础设施每天也会生成并签署约 4000 万份 OCSP 响应，并且每天为这些响应提供大约 55 亿次的响应。预计这些数字在2019年将增长约 40％。

Let’s Encrypt 的物理 CA 基础架构目前占用大约 55 个机柜，分布在两个数据中心之间，主要包括计算服务器、存储、HSM、交换机和防火墙。当 Let’s Encrypt 颁发更多证书时，这会给他们的数据库带来最大的压力。他们需要经常为数据库服务器投入更多更快的存储空间，并将在 2019 年继续加大这方面的投入。

所有的基础设施均由 Let’s Encrypt 的网站可靠性工程(SRE)团队管理，该团队由六人组成。SRE 员工负责构建和维护所有物理和逻辑 CA 基础架构。这些员工负责提供 Let’s Encrypt 安全性和合规性的高标准效果，还执行 24/7/365 随叫随到的计划，他们是安全和合规审计的主要参与者。

财政

2019年，Let’s Encrypt 的预算虽然目前仅为360万美元。但目前筹款活动的进度如期进行，思科、OVH、Mozilla、谷歌和电子前沿基金会和互联网协会以及许多其他赞助商都会进行捐助，他们也正在寻求额外的赞助和拨款援助，以满足2019年的全部需求。

最后，让我们感谢这个伟大的组织