C6dbe6be171af51b9c1ae88c53246dea Let's Encrypt是由網際網路安全研究小組(Internet Security Research Group,ISRG,位於美國加州的公益組織)於2015年提出的免費SSL、TLS數位憑證認證服務,希望透過自動化流程簡化建立和安裝手續,推廣加密連線以增進網路資訊安全。

加密網頁流量成長10%

SSL的全名是Secure Sockets Layer(安全通訊協定),隨著時間推進,除了推出多個改版外,後來也演變為TLS(Transport Layer Security,傳輸層安全性協定),是目前相當普及的網路通訊安全措施。簡單地說,它會透過非對稱加密技術,在資料傳輸之前先加密保護,待資料送達後再將密碼解開,如此一來就能避免中間被人竊聽或竄改。讀者可以參考筆者先前文章對這種技術所做的說明。

Let’s Encrypt是款具有免費、自動化等優勢的數位憑證認證服務(Certificate Authority,以下簡稱CA),讓網站的經營者可以免費使用SSL、TLS等加密技術建立HTTPS連線,以增進使用網路的安全與隱私,其詳細運作原理可參考官方網站說明

在2018年中,Let’s Encrypt已經位超過1.5億個網站提供服務,除了維持良好的資安記錄外,根據Firefox瀏覽器開發商Mozilla所提出的統計資料,2018年加密網頁的流量從67%提升至77%。雖然說這不全然是Let’s Encrypt的功勞,但可看出越來越多網頁受到加密保護。

Let’s Encrypt預期在2019年內,主動憑證(Active Certificates)與完整網域(Fully Qualified Domains)的使用數量會分別攀升至1.2億與2.15億,具有強勁的成長力道。

導入更多安全功能

在2018年中,Let’s Encrypt開始支援ACMEv2並加入通用憑證(Wildcard Certificates)功能,也開始內建於Apache網頁伺服器,2019年除了計劃整合進Nginx網頁伺服器外,也會推出許多新功能。

其中最讓開發團隊興奮的功能是多邊驗證(Multi-Perspective Validation),目前Let’s Encrypt遵循標準CA的作法,從單一自治系統(Autonomous System,以下簡稱AS)進行域名控制驗證,但如果攻擊者劫持邊界閘道器協定(Border Gateway Protocol,以下簡稱BGP)的話,就可能導致將憑證誤發給攻擊者。

由於BGP的保護無法在短時間內達成,因此Let’s Encrypt,預計於2019年導入多邊驗證作為解決方案,系統會從多個AS進行驗證,代表著攻擊者需要同時劫持多個BGP,大幅提升攻擊難度。同時間Let’s Encrypt也與普林斯頓大學的研究團隊合作,著手改善多邊驗證系統的效果。

此外Let’s Encrypt也計劃在2019年加入憑證透明化(Certificate Transparency)制度以增加服務的透明度,並在行有餘力的前提下,導入橢圓曲線加密根憑證(ECDSA Root)與中繼憑證(Intermediate Certificate),一來是可以取代基於大數分解的RSA加密,提升加密效率,二來是能夠在整個憑證鏈(Certificate Chain)都使用橢圓曲線加密。

Let’s Encrypt在Mozilla、Akamai、Cisco、電子前哨基金會、OVH、Google Chrome和互聯網協會等金贊助商與其他贊助商的支持下得以順利運作,但他們也仍在尋求額外的金援以打平未來開銷,有興趣提供贊助的公司、組織或個人都可以向Let’s Encrypt聯繫。

使用 Facebook 留言

發表回應

謹慎發言,尊重彼此。按此展開留言規則