Let’s Encrypt 2016 年度回顧
我們作為一個正式運作的憑證授權機構(CA)的第一個完整年度令人興奮。我為我們的團隊和社群在 2016 年所取得的成就感到無比自豪。我想分享一些關於我們如何改變、我們取得的成就以及我們所學到的經驗。
在 2016 年初,Let's Encrypt 憑證對公眾開放不到一個月,我們當時支援約 240,000 個有效(未過期)憑證。當時這看起來已經很多了!現在我們經常在一天內發出這麼多新的憑證,同時總共支援超過 20,000,000 個有效憑證。最近我們曾幾次在一天內發出超過一百萬個憑證。我們目前平均每秒處理 6,700 個 OCSP 回應。我們做了很多最佳化工作,我們必須增加一些硬體設備,而且我們的工作人員度過了一些漫長的夜晚,但我們能夠跟上進度,並準備好迎接又一個強勁成長的一年。
在過去一年中,我們新增了許多新功能,包括支援 ACME DNS 挑戰、ECDSA 簽署、IPv6 和國際化網域名稱。
在 2016 年開始時,我們的根憑證尚未被任何主要的根憑證計畫接受。今天,我們已經被 Mozilla、Apple 和 Google 根憑證計畫接受。我們即將宣布被另一個主要的根憑證計畫接受。這些都是朝向能夠作為一個獨立 CA 運作的重大步驟。您可以在這裡閱讀更多關於原因的資訊。
用於發行和管理憑證的 ACME 協定是 Let's Encrypt 運作的核心。在標準軌道上公開開發完善定義且經過嚴格審核的規範,是我們成長和我們客戶端生態系統成長的主要貢獻者。在 2016 年,在IETF ACME 工作組中標準化 ACME 方面取得了重大進展。我們希望在 2017 年第二季度末左右發布最終文件,我們也將在那時宣布實施更新協定的計畫。
支援我們在 2016 年看到的這種成長意味著需要增加員工,在過去一年中,Let's Encrypt 背後的非營利實體網際網路安全研究小組 (ISRG) 從四名全職員工增加到九名。考慮到我們現在是世界上最大的 CA 之一(如果不是最大的),我們仍然是一支相當小的團隊,但由於我們專注於自動化、我們能夠聘請優秀的人才以及我們從 Let's Encrypt 社群獲得的難以置信的支援,這一切都運作得很好。
Let’s Encrypt 的存在是為了幫助創建一個 100% 加密的網路。我們自己的指標可能很有趣,但它們只有在對更安全、更尊重隱私的網路進展產生影響時才有意義。我們用來追蹤朝向該目標進展的指標是瀏覽器看到的使用 HTTPS 的頁面載入百分比。根據 Firefox 遙測數據,在過去一年中,每天使用 HTTPS 的網頁載入量已從約 39% 增加到約 49%。我們非常接近一個加密大於未加密的網路。我們很自豪能成為其中的重要一環,但我們不能將所有功勞都歸功於自己。全球許多人和組織都意識到我們需要投資於更安全、更尊重隱私的網路,並且已採取措施來保護自己的網站以及其客戶的網站。感謝今年所有提倡 HTTPS 或幫助人們更容易切換的人。
我們今年學到了一些教訓。當我們的服務中斷時,它們通常與管理支援我們 CA 的快速成長的資料庫有關。此外,雖然我們的大部分程式碼都有適當的測試,但有些小部分沒有,這導致了不應該發生的事件。話雖如此,我為我們迅速處理事件的方式感到自豪,包括快速且透明的公開披露。
我們也對我們的客戶端生態系統了解了很多。在 2016 年初,ISRG/Let's Encrypt 提供了一個名為 letsencrypt 的客戶端軟體。我們一直都知道我們永遠無法生產出適用於每個 Web 伺服器/堆疊的軟體,但我們認為我們需要提供一個可以很好地適用於大量人群的客戶端,並且可以作為一個參考客戶端。到了 2016 年 3 月,比我們預期的早,很明顯我們的社群有能力創建各種高品質的客戶端,而我們應該將精力更好地投入到培養該社群,而不是生產我們自己的客戶端。這就是我們決定將客戶端開發移交給電子前哨基金會 (EFF) 的時候。EFF 將客戶端重新命名為 Certbot,並且一直以來都做得很好,維護和改進它,作為眾多客戶端選項之一。
儘管 2016 年對於 Let's Encrypt 和 Web 加密來說令人興奮,但 2017 年似乎將是更令人難以置信的一年。100% 加密網路所需的大部分基礎設施和許多計畫都在 2016 年開始出現或鞏固。越來越多的託管服務提供商和 CDN 正在支援一鍵或預設的 HTTPS,通常沒有額外費用。對於運行自己網站的人員和組織來說,找到他們需要遷移到 HTTPS 的工具、服務和資訊從未如此容易。瀏覽器正計劃更新其使用者介面,以更好地反映與不安全連線相關的風險。
我們要感謝我們的社群,包括我們的贊助者,讓這過去一年我們所做的一切成為可能。請考慮參與貢獻或捐款,如果您的公司或組織想贊助 Let's Encrypt,請寄電子郵件至 sponsor@letsencrypt.org。