Let’s Encrypt 榮獲 Levchin 實務密碼學獎

感謝實務密碼學指導委員會以及Max Levchin的肯定。我對於我們的團隊自 2013 年開始致力於 Let's Encrypt 以來所取得的成就感到無比自豪。

我第一個想做的事就是點名感謝，但多年來有太多人為這項工作投入了他們生命中的重要部分，這個名單會太長。你們知道你們是誰。我希望你們和我現在一樣感到自豪。

Let’s Encrypt 目前被超過 2.8 億個網站使用，每天核發 200 萬到 300 萬張憑證。我常常在想我們是如何走到這一步的，希望能找到一些可以幫助其他人的智慧。我不確定我是否真的想出什麼特別深刻的道理，但我還是要告訴你們我的想法。一般來說：我們從一個相當好的想法開始，建立了一個堅強的團隊，專注於重要的事情，並在每一步都將易用性牢記在心。

Let’s Encrypt 最終來自一群思考一個相當艱鉅挑戰的人。數十億在網路上生活越來越多的人值得更好的隱私和安全性，但為了做到這一點，我們需要說服數億個網站切換到 HTTPS。我們不僅希望他們做出改變，我們還希望他們中的大多數人在未來三到五年內做出改變。

我們仔細考慮了很多選項，但最後我們認為沒有其他辦法，只能建立後來的 Let's Encrypt。事後看來，建立 Let's Encrypt 似乎是一個好主意，而且很有成就感，但當時在很多方面來說，這是一個令人沮喪的結論。這不是一個容易承諾的解決方案。這意味著要成立一個新的組織、聘請至少十幾個人、了解如何操作 CA 的許多細節、建立一些相當複雜的技術系統，並將所有這些系統設定為運行數十年。我們中的許多人都希望在這個有趣的問題上工作一下，解決它，或至少對它產生很大的影響，然後再轉向其他有趣的問題。我不知道你們的想法如何，但我年輕時肯定沒有夢想過要建立和運營 CA。

不過，這是必須完成的事情，所以我們開始工作。我們建立了一個很棒的團隊，最初主要由志工組成，只有極少數員工。隨著時間的推移，這種比例發生了逆轉，現在每天在 Let's Encrypt 上工作的人大多是員工，但我們很幸運能夠繼續擁有一群充滿活力的志工，他們的工作範圍很廣，從翻譯我們的網站和在我們的社群論壇上提供協助，到維護數十個（也許數百個？）現有的客戶端軟體選項。

今天，只有 11 位工程師在 Let’s Encrypt 工作，還有一個小組負責籌款、溝通和行政任務。對於一個服務全球每個國家數億個網站的組織來說，這並不算多，該組織受到相當嚴格的行業規則、稽核以及對安全性和可靠性的高度期望的約束。該團隊正準備為多達 10 億個網站提供服務。當那一天到來時，團隊將會更大，但可能不會大很多。效率對我們來說很重要，原因有兩個。第一個是原則性問題 - 我們相信我們有義務盡我們所能，用每一筆託付給我們的錢做最大的善事。第二個原因是必要性 - 籌錢並不容易，我們需要盡最大努力用現有的資源完成我們的使命。

對於在實務密碼學領域的各位來說，易用性對於我們在更廣泛地應用密碼學方面取得的任何成功至關重要，這可能不會讓任何人感到驚訝。Let’s Encrypt 有相當多的內部複雜性，但我們盡可能減少用戶接觸到的複雜性。理想情況下，即使對於運行伺服器的人來說，這也是一個完全自動化且容易被遺忘的背景任務。

Let’s Encrypt 是免費的事實是易用性的一個巨大因素。這甚至與人們可能願意或能夠支付多少錢無關，而是任何財務交易要求都會使其無法完全自動化我們的服務。在某個時候，必須有人取得信用卡並管理付款資訊。該任務的複雜程度從找到您的錢包到獲得公司批准不等。任何金額的付款的存在也會因制裁和財務物流而大大限制我們的地理可用性。

所有這些因素導致了成立ISRG，一個非營利實體來支援 Let's Encrypt 的決定。我們能夠提供這種全球可靠的服務，都要歸功於那些相信 TLS 無處不在並在經濟上支持我們的人們和公司。我非常感謝所有幫助我們的貢獻者。

我們的服務在正常情況下相當容易使用，但我們還沒有完成。我們可以更好地處理異常情況，例如大型撤銷事件。彈性是好的。自動化的流暢彈性更好。這就是為什麼我對我們現在在 IETF 中進行的 ACME 更新資訊工作感到如此興奮的原因，它將在明年投入生產。

這裡的每個人都聽過這句話，但我會再說一遍，因為我們不能讓它從我們的腦海中溜走。易用性對於實務密碼學的廣泛採用至關重要。當我們展望 ISRG 的未來時，我們的新專案將以易用性為核心。事實上，您可以在今天下午的兩場會議中了解我們與隱私保護測量相關的最新專案！要讓易用性正確，不僅僅是軟體的問題。這是一種三方舞蹈，軟體、法律和財務之間的舞蹈，以便取得好的結果。

再次感謝你們。這個肯定對我們意義重大。