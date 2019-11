Povinnost zveřejňovat všechny veřejné certifikáty v databázích Certificate Transparency (CT) je tu s námi od jara loňského roku. První logy ale vznikly ještě o několik let dříve a jejich použití bylo pro některé autority povinné už dříve. Let's Encrypt na začátku letošního roku slíbil, že spustí vlastní logy pro CT a skutečně se tak stalo.

Stručně řečeno je CT databáze, do které jsou přijímány certifikáty veřejně důvěryhodných autorit. Jsou organizovány do Merklova stromu ověřitelného pomocí elektronického podpisu. Záznamy jsou veřejně dostupné a je možné v nich libovolně vyhledávat. Protože prohlížeč vyžaduje, aby k certifikátu bylo doloženo také digitálně podepsané potvrzení o přidání do logu, jsou všechny autority nuceny vystavované certifikáty tímto mechanismem zveřejňovat. Jinak jsou neplatné. Podrobně se o tom dočtete v samostatném článku.

Certifikační autorita Let's Encrypt nyní zveřejnila podrobnosti o tom, jak provozuje svůj log. Není to úplná maličkost a lidé stojící za projektem doufají, že nabídnou inspiraci těm, kteří by chtěli podobný projekt provozovat.

Milion certifikátu denně

Let's Encrypt dnes vystavuje více než milion certifikátů denně a toto číslo neustále roste. Log pro jejich ukládání ovšem musí pojmout i případné certifikáty dalších autorit, takže je potřeba jej dostatečně nadimenzovat a umožnit další škálování v budoucnu. V současné době se počítá se dvěma miliony certifikátů denně.

Jsou tu ale i další požadavky, například je potřeba zajistit vysokou dostupnost infrastruktury. Uptime musí být vyšší než 99 % a žádný výpadek nesmí být delší než 24 hodin. Kvůli tomu je dobré také velký log rozdělit na několik menších. Tohle celé navíc musí být pokud možno bezobslužné, protože odborná lidská práce je drahá.

Kvůli testování jsou ale vlastně provozovány dva separátní logy: produkční a testovací. Oba jsou pod plnou zátěží, takže jakýkoliv výkonnostní problém s novou verzí by se projevil v testovacím prostředí dříve, než by byl stejný software nasazen do produkce. Všechny novinky se samozřejmě nejprve vyzkoušejí a pak se dostanou na ostré servery.

Amazon Web Services (AWS)

Infrastruktura logů běží v AWS a hlavním důvodem je, že Let's Encrypt chce zachovat diverzitu poskytovatelů. Logů není příliš mnoho a pokud by jich kvůli selhání jedné podpůrné infrastruktury vypadlo několik najednou, mohlo by to znamenat nepříjemný problém.

Když se rozhodovalo o umístění logu Let's Encrypt, běžely některé další na infrastruktuře Google a také v Digital Ocean. Proto bylo rozhodnuto, že v rámci rozložení rizika bude nový log spuštěn právě na AWS. Zajímavé je, že log společnosti Digicert běží na stejné infrastruktuře.

Druhou výhodou AWS je, že z hlediska této aplikace podporuje všechny potřebné vlastnosti a tým Let's Encrypt má s tímto poskytovatele předchozí zkušenosti. Podle všeho neexistovaly prakticky žádné pochybnosti o tom, že půjde o dobrou volbu.

Terraform, MariaDB a Kubernetes

Základním stavebním kamenem je Terraform, který umožňuje velmi rychle nasadit komplexní infrastrukturu a poté ji snadno spravovat. Protože Let's Encrypt používá Terraform v mnoha dalších oblastech, bylo možné velkou část původního řešení použít také pro CT log. Infrastruktura používá zhruba 50 různých komponent a díky Terraformu je možné se o ni starat i s velmi malým týmem. Automatizace navíc umožňuje snadno škálovat, testovat a vyhýbat se konfiguračním chybám.