更新:2020 年 2 月 5 日

Let’s Encrypt CT 日誌現在已包含在核准的日誌列表中,並可供所有公開信任的憑證授權單位使用。

今天,我們宣布推出一個新的憑證透明度日誌,名為 Oak。Oak 日誌將由 Let's Encrypt 運營,並歡迎所有公開信任的憑證授權單位提交憑證。

Sectigo慷慨地提供資金,以支付我們運營 CT 日誌的絕大部分成本。Sectigo 的資訊長 Ed Giaquinto 表示:「Sectigo 很榮幸贊助 Let’s Encrypt CT 日誌。我們相信此舉將為急需加強的 CT 生態系統提供助力。」我們感謝他們為改善網路安全所做的合作。

憑證透明度 (CT)是一種用於記錄和監控憑證頒發的系統。它大大提高了所有人監控和研究憑證頒發的能力,而這些能力已促使 CA 生態系統和網路安全得到眾多改進。因此,它正迅速成為至關重要的網路基礎設施。自 2015 年開始頒發憑證以來,Let’s Encrypt 一直記錄每個憑證,加速了 CT 的採用,目前已記錄約 5 億個憑證。

我們決定建立和運營 CT 日誌有幾個原因。首先,運營日誌符合我們創建更安全、更尊重隱私網路的使命。我們認為透明度可以提高安全性,並使人們能夠做出明智的決策。其次,運營日誌有助於我們掌控自己的命運。Google Chrome 要求所有新憑證都必須提交到兩個不同的日誌,因此多個日誌選項對於我們的運營至關重要。最後,Let’s Encrypt 通常每天頒發超過 100 萬張憑證,因此我們希望設計一個針對大量頒發而優化的 CT 日誌。我們已將我們的日誌設計為能夠處理來自所有其他公開信任的憑證授權單位的提交,以便他們也可以使用 Oak 來滿足其記錄要求。

我們的日誌使用 Google 的 Trillian 軟體,在 AWS 基礎架構上運行。我們使用 Kubernetes 進行容器編排和工作排程,並使用 AWS RDS 進行資料庫管理。

我們正在提交我們的日誌,以包含在 Google ChromeApple Safari 的核准日誌列表中。在成功監控 90 天後,我們預期我們的日誌將被新增到這些信任列表中,並且該變更將隨著後續瀏覽器版本的發布而傳播到人們的瀏覽器中。

延續森林主題,我們也宣布推出我們的開源 CT 監控工具CT Woodpecker。我們使用它來監控和確保我們的日誌符合規範,並且我們已將其開源,以便 CT 生態系統中的其他成員也可以使用它。

我們要感謝 Google、Sectigo、Cloudflare 和 DigiCert 也運行開放日誌,並且我們期待為改善網路安全透明度做出貢獻!

我們依賴來自我們的使用者和支持者社群的貢獻,以便提供我們的服務。如果您的公司或組織希望贊助 Let’s Encrypt,請發送電子郵件至 sponsor@letsencrypt.org。如果您有能力,我們懇請您做出個人捐款