Проект Let’s Encrypt опубликовал планы на 2019 год

3 января 2019 года

Некоммерческий удостоверяющий центр Let’s Encrypt, контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим, подвёл итоги прошедшего года и рассказал о планах на 2019 год. В 2018 году доля запросов страниц по HTTPS увеличилось с 67% до 77%. Проектом Let's Encrypt выдано 87 млн сертификатов, охватывающих около 150 млн доменов (год назад было охвачено 61 млн доменов и прогнозировался рост до 120 млн к концу 2018 года). В 2019 году сервис планирует преодолеть планку в 120 млн активных сертификатов и 215 млн сайтов.

В 2019 году планируется внедрить многопозиционную систему проверки, при которой подтверждение полномочий на получение сертификата для домена производится с использованием нескольких проверок, выполняемых из территориально разнесённых подсетей, привязанных к разным автономным системам. Данная система позволит минимизировать риски получения сертификатов на чужие домены путём проведения целевых атак, перенаправляющих трафик через подстановку фиктивных марштрутов при помощи BGP. При использовании многопозиционной системы проверки атакующему потребуется одновременно добиться перенаправления маршрутов для нескольких автономных систем провайдеров с разными аплинками, что значительно сложнее, чем перенаправление единичного маршрута.

Из других планов отмечается формирование общедоступного журнала Certificate Transparency (CT), в котором будут отражены все выданные сертификаты. Публичный лог даст возможность проводить независимый аудит всех изменений и действий удостоверяющего центра. Для защиты от искажения данных задним числом при хранении в логе Certificate Transparency применяется древовидная структура "дерево Меркла" (Merkle Tree), в которой каждая ветка верифицирует все нижележащие ветки и узлы, благодаря совместному (древовидному) хешированию. Имея конечный хэш, пользователь может удостовериться в корректности всей истории операций, а также в корректности прошлых состояний БД (корневой проверочный хэш нового состояния базы вычисляется с учётом прошлого состояния).

В наступившем году также планируется ввести в эксплуатацию корневой и промежуточный сертификаты, созданные с использованием алгоритма ECDSA, более эффективного, чем ныне используемый RSA. В планах также упоминается подготовка для nginx модуля для автоматизации получения и обслуживания сертификатов с использованием протокола ACME (Automatic Certificate Management Environment). В прошлом году подобный модуль уже был включён в состав Apache httpd.

Текущая серверная инфраструктура Let's Encrypt обрабатывает примерно 5.5 миллиарда запросов в день. В 2019 году прогнозируется рост нагрузки на 40%. Оборудование размещено в двух датацентрах. Серверы, хранилища, HSM, коммутаторы и межсетевые экраны занимают 55 юнитов в стойках. Поддержанием инфраструктуры занимается команда из шести инженеров, трудоустроенных на постоянной основе. В 2019 году запланировано внедрение более быстрых систем хранения для серверов с СУБД.

Запланированный на 2019 год бюджет составит 3.6 млн долларов, что на 600 тысяч долларов больше, чем бюджет 2018 года. Средства собираются в основном за счёт финансовой помощи от крупных спонсоров, таких как Cisco, OVH, Mozilla, Google Chrome, Electronic Frontier Foundation и Internet Society.