Let’s Encrypt: Смотря в год 2018 (да, wildcard будут!)

в 7:56, , рубрики: Let's Encrypt, браузеры, Дед Мороз и wildcard, информационная безопасность

LE LogoДля Let's Encrypt проходящий, 2017 год, оказался замечательным. Мы более чем удвоили количество активных (неистекших) сертификатов, обслуживаемых нами (до 46 миллионов), мы только утроили число уникальных доменов, обслуживаемых нами (до 61 миллионов), и мы сделали все это, сохранив высокую безопасность и соответствие требованиям. Самое главное, что, согласно статистике Mozilla, в Интернет наблюдается рост загрузок страниц по шифрованным соединениям с 46% до 67% — это невероятный рост на 21% за один год! Мы гордимся, что внесли свой вклад в этот рост, и мы хотели бы поблагодарить всех остальных людей и организации, которые также работали над созданием более безопасного, и с уважением относящегося к конфиденциальности, Интернета.

Хотя мы гордимся тем, чего достигли в 2017 году, большую часть последнего квартала уходящего года мы тратим, смотря в будущее, а не в прошлое. По мере того, как мы завершаем наш процесс планирования на 2018 год, я хотел бы поделиться с вами некоторыми из наших планов, включая как новое, введение чего мы предвкушаем, так и проблемы, с которыми мы можем столкнуться. Ниже мы рассмотрим рост услуг, новые возможности, инфраструктуру и финансы.

Рост услуг

Мы планируем удвоить количество активных сертификатов и обслуживаемых уникальных доменов в 2018 году до 90 миллионов и 120 миллионов, соответственно. Этот предполагаемый рост обусловлен сохраняющимися высокими ожиданиями роста HTTPS в целом в 2018 году.

Let’s Encrypt помогает внедрять HTTPS, предлагая бесплатный, простой в использовании и доступный по всему миру способ получения сертификатов, необходимых для включения HTTPS. Проникновение HTTPS в Интернете начало расти с беспрецедентной скоростью со дня запуска Let’s Encrypt.

Одна из причин, почему Let's Encrypt настолько проста в использовании, заключается в том, что наше сообщество отлично поработало над созданием клиентского программного обеспечения, которое хорошо работает для самых разных платформ. Мы хотели бы поблагодарить всех, кто участвует в разработке более 60 [вариантов программных клиентов для Let's Encrypt. Мы особенно рады, что поддержка протокола ACME и Let's Encrypt была добавлена в сервер Apache httpd.

Другие организации и сообщества также проводят большую работу по продвижению внедрения HTTPS и тем самым стимулируют спрос на наши услуги. Например, браузеры начинают сообщать своим пользователям о рисках, связанных с незашифрованным HTTP (например, Firefox, Chrome). Многие хостинг-провайдеры и CDN упрощают использование своих HTTPS для всех своих клиентов. Государственные агентства стимулируют потребность в усилении безопасности для защиты трехсторонних участников. Медиа-сообщество работает над повышением безопасности новостей.

Новые возможности

У нас есть интересные возможности, запланированные на 2018 год.

Во-первых, мы планируем ввести точку входа (endpoint) для протокола ACME v2, и поддерживать помощи её сертификаты wildcard. Сертификаты wildcard будут бесплатны и доступны по всему миру, как и наши другие сертификаты. К 4 января мы планируем запустить точку входа API в тестовом режиме, дата полного запуска установлена — это вторник, 27 февраля.

Позднее в 2018 году мы планируем ввести корневые и промежуточные сертификаты на базе алгоритма ECDSA. ECDSA, как правило, считается будущим алгоритмов цифровой подписи в Интернете из-за того, что он более эффективен, чем RSA. Let's Encrypt в настоящее время умеет подписывать ключи клиентов при помощи ECDSA, но подписываем при помощи RSA из-за одного из наших промежуточных сертификатов. Как только у нас появятся корневые и промежуточные сертификаты с ECDSA, наши пользователи смогут развертывать цепочки сертификатов, полностью использующие ECDSA.

Инфраструктура

Наша инфраструктура ЦС способна выдавать миллионы сертификатов в день, и построена с множественным резервированием для обеспечения стабильности, и широкого спектром защитных мер безопасности, как физических, так и логических. Наша инфраструктура также ежедневно генерирует и подписывает почти 20 миллионов ответов OCSP и обслуживает эти ответы почти 2 миллиарда раз в день. Мы ожидаем, что использование и цифры OCSP удвоятся в 2018 году.

Наша физическая инфраструктура ЦС в настоящее время занимает около 70 юнитов в стойках, разделенных между двумя центрами обработки данных, состоящими в основном из вычислительных серверов, хранилищ, HSM, коммутаторов и брандмауэров.

Когда мы станем выдавать больше сертификатов, это увеличит нагрузку на хранилища для наших баз данных. Мы регулярно вкладываем средства в более быстрые хранилища для наших серверов БД, и это будет продолжаться в 2018 году.

В 2018 году нам потребуется добавить несколько дополнительных вычислительных серверов, кроме того, в 2018 года мы планируем впервые в своей истории начать списывать сервера. Так, мы планируем списать примерно 10 двухюнитовых серверов, и заменить их новыми одноюнитовыми серверами, что позволит сэкономить место и быть более энергоэффективным, обеспечивая при этом лучшую надежность и производительность.

Мы также добавим еще одного сотрудника по работе с инфраструктурой, доведя эту команду до шести человек. Это необходимо для того, чтобы не отставать от роста потребностей при сохранении высокого уровня безопасности и соответствия требованиям. Персонал инфраструктурной команды — системные администраторы, ответственные за создание и обслуживание всей физической и логической инфраструктуры ЦА. Команда также 24/7/365 получает звонки от системы оповещения о проблемах, и они являются первичными участниками аудита безопасности и соответствия.

Финансы

Мы гордимся тем, что являемся эффективной организацией. В 2018 году Let's Encrypt обеспечит безопасность для существенной части Интернета, имея бюджетом всего лишь 3,0 млн долларов. Эта цифра всего на 13% больше, чем за 2017 год, при том, что мы собираемся выпустить и обслуживать в два раза большее число сертификатов, чем в 2017 году. Мы считаем, что это представляет собой невероятную ценность, и что вклад Let's Encrypt в работу шифрования в Интернете является одним из наиболее эффективных способов, чтобы помочь создать более безопасный и конфиденциальный веб-сайт.

Наши усилия по сбору средств в 2018 году начались с платинового спонсорства от Mozilla, Akamai, OVH, Cisco, Google Chrome и Фонда Electronic Frontier Foundation. Фонд Форда возобновил грант для Let's Encrypt. Мы также ищем дополнительные спонсорство и помощь для удовлетворения наших потребностей на 2018 год.

Первоначально мы закладывали сумму в 2,91 млн. долларов США за 2017 год, но мы, скорее всего, обойдемся бюджетом около 2,65 млн долларов на год. Разница между нашими расходами на 2017 год в размере 2,65 млн. долл. США и бюджетом 2018 года в размере 3,0 млн. долл. США состоит в основном из ранее упомянутых дополнительных расходов на инфраструктуру.

Поддержка Let's Encrypt

Мы полагаемся на вклад нашего сообщества пользователей и сторонников для обеспечения предоставления наших услуг. Если ваша компания или организация хотели бы спонсировать Let's Encrypt, напишите нам по адресу sponsor@letsencrypt.org. Мы также просим вас сделать индивидуальный взнос, если вы можете себе это позволить.

Мы благодарны за поддержку со стороны отрасли и участников сообщества, которую мы получаем, и будем надеяться на продолжение создания более безопасной и конфиденциальной работы в сети Интернет!

Автор: Александр Чекалин

Источник

Поделиться

* - обязательные к заполнению поля