Hlavní navigace

Let's Encrypt letos zdvojnásobí počet certifikátů, přidá wildcardy a ECDSA

Petr Krčmář

Certifikační autorita Let's Encrypt hodlá v letošním roce opět zdvojnásobit počet aktivních certifikátů, uživatelům chce ale také představit novinky v podobě wildcard certifikátů a mezilehlého ECDSA certifikátu.

Certifikační autorita Let's Encrypt považuje uplynulý rok za skvělý, podařilo se jí zdvojnásobit počet aktivních (neexpirovaných) certifikátů na 46 milionů a ztrojnásobit počet chráněných domén na 61 milionů. Tento úspěch se projevil také na podílu stránek, které uživatelé reálně načtou pomocí šifrovaného HTTPS kanálu. Podle telemetrie Firefoxu je to 66 %, na začátku roku to přitom bylo jen 46 %. Chrome uvádí ještě vyšší čísla.

Pro letošní rok chystá autorita některé další novinky a chce rozhodně pokračovat v růstu. Plánuje počet aktivních certifikátů navýšit až na 90 milionů a počet domén v nich na 120 milionů. Bude zároveň probíhat další rozvoj klientů, kterých je v současné době více než šedesát a další přibývají. Nejnovějším přírůstkem do této rodiny je klient zabudovaný přímo do web serveru Apache.

Nové vlastnosti

Letos chystá autorita podporu nové standardizované verze protokolu ACMEv2, která zároveň umožní vystavování wildcard certifikátů. Ty umožní pokrýt libovolné množství subdomén a budou zdarma, stejně jako doposud vydávané certifikáty s pevnými doménovými jmény. První test by se přitom měl uskutečnit už velmi brzy, autorita plánuje otevřít nové API už za pár dnů, 4. ledna. Plný start by se pak měl odehrát 27. února.

Další plánovanou novinkou je vystavení kořenového a mezilehlého ECDSA certifikátu. Let's Encrypt umožňuje už delší dobu vystavovat koncové certifikáty používající eliptické křivky, ty zatím ale plně závisí na kořenovém a mezilehlém certifikátu využívajícím tradiční algoritmus RSA. Přechod na moderní ECDSA přinese vyšší efektivitu při šifrování a také výrazné zmenšení certifikátů, které je potřeba od serveru ke klientům přenášet.

Čísla z provozu

Let's Encrypt se podělila také o podrobnosti týkající se počtu vydávaných certifikátů. Současná infrastruktura je schopná denně vystavit miliony certifikátů a je vybavena několikanásobnou redundancí. Infrastruktura zároveň podepíše denně 20 milionů OCSP odpovědí potvrzujících platnost certifikátů. Těchto odpovědí pak denně pošle více než dvě miliardy. Tato čísla se pravděpodobně v letošním roce také přibližně zdvojnásobí.

Současná infrastruktura je rozdělena do dvou datacenter, kde zabírá přibližně 70 rackových pozic. Jedná se především o servery, úložiště, moduly HSM, switche a firewally. S narůstajícím množstvím certifikátů roste také zátěž na tuto infrastrukturu, především na databázové servery. Organizace proto nakupuje nová a výkonnější úložiště.

Investovat se bude také do serverů a poprvé od spuštění projektu dojde také k obměně hardware. Starší 2U servery budou nahrazeny menšími a efektivnějším 1U. Ušetří se tím nejen místo, ale i množství spotřebované energie na jednotku výkonu. Přibude také další člen do týmu, který se o infrastrukturu stará, celkem jich tedy bude šest. Tito lidé se starají o hladký běh, mají stálou pohotovost a jejich úkolem je také řešit audity.

NMI18_tip do clanku_obecny

Rozpočet naroste jen mírně

Už víme, že tohle celé není levné a ročně to přijde přibližně na tři miliony dolarů. Projekt přitom pro letošní rok počítá s nárůstem výdajů přibližně o 13 %, přičemž bude schopen za tyto peníze zdvojnásobit počet vydávaných certifikátů proti loňskému roku. Věříme, že to představuje neuvěřitelnou hodnotu a přispění projektu Let's Encrypt je jednou z nejefektivnějších cest, jak tvořit bezpečnější web respektující soukromí.

Hlavní zdroje projektu stále plynou od velkých partnerů jako Mozilla, Akamai, OVH, Cisco, Google Chrome a Electronic Frontier Foundation. Také Ford Foundation obnovila svůj grant. Přesto se chce organizace zaměřit na získávání nových podporovatelů, kteří by zajistili její stabilní financování i do budoucna.

Našli jste v článku chybu?