2019年に向けて
Let's Encryptは2018年に素晴らしい一年を過ごしました。私たちは、優れたセキュリティとコンプライアンスの実績を維持しながら、1億5000万を超えるウェブサイトにサービスを提供しています。
最も重要なことは、Mozillaの統計によると、Webページの暗号化ロードが2018年には67%から77%に増加したことです。これは驚くべき変化率です!
より安全でプライバシーを尊重するWebの実現に向けて尽力してくださったすべての人々と組織に感謝します。
今年、私たちはLet's Encryptの背後にある法的組織であるインターネットセキュリティリサーチグループ(ISRG)の新しいウェブサイトを作成しました。これは、ISRGがより良いインターネットを構築したり、アクセスを改善したりするために貢献できる事例がLet's Encrypt以外にもあると信じているからです。
私たちは2018年に達成したことを誇りに思いますが、振り返るよりも、将来に目を向けています。2019年の計画プロセスを終えるにあたり、私たちが楽しみにしていることや、直面する課題など、いくつかの計画を皆さんと共有したいと思います。サービス成長、新機能、インフラストラクチャ、および財務について取り上げます。
サービス成長
Let's Encryptは、HTTPSを有効にするために必要な証明書を無料で、使いやすく、グローバルに利用できるオプションを提供することで、HTTPSの普及を推進しています。Let's Encryptが一般公開されてから、WebでのHTTPSの普及は前例のない速さで進みました。
私たちがサポートする証明書とユニークドメインの数は急速に増え続けています。
2019年も引き続き力強い成長を期待しており、アクティブな証明書は最大1億2000万、完全修飾ドメインは最大2億1500万になると予想しています。最近刷新された統計ページで詳細をご覧ください。
Let's Encryptが非常に使いやすい理由の1つは、私たちのコミュニティが、さまざまなプラットフォームでうまく動作するクライアントソフトウェアを作成する上で素晴らしい仕事をしてきたことです。Let's Encrypt用の85を超えるクライアントソフトウェアオプションの開発に関わったすべての人に感謝します。私たちのプロトコルであるACMEのサポートはApacheに組み込まれており、2019年にはNginxに搭載されることを期待しています。
他の組織やコミュニティも、HTTPSの普及を促進し、それによって私たちのサービスに対する需要を刺激するために素晴らしい仕事をしています。たとえば、ブラウザは、暗号化されていないHTTPに関連するリスクをユーザーにますます認識させるようになっています(例:Firefox、Chrome)。多くのホスティングプロバイダーとCDNは、すべての顧客がこれまで以上に簡単にHTTPSを使用できるようにしています。政府機関は、構成員を保護するためのより強力なセキュリティの必要性に目覚めつつあります。メディアコミュニティは、ニュースを保護するために取り組んでいます。
新機能
2018年には、ACMEv2サポートやワイルドカード証明書など、いくつかの新機能を導入しました。2019年にはいくつかのエキサイティングな機能が計画されています。
私たちが最も楽しみにしている機能は、マルチパースペクティブ検証です。現在、加入者が証明書を要求すると、単一のネットワークパースペクティブからドメインコントロールを検証します。これはCAの標準的な慣行です。検証チェックのネットワークパスに沿って攻撃者がトラフィックを妨害すると、発行されるべきでない証明書が発行される可能性があります。私たちはBGPハイジャックによってこれが起こることを最も懸念しており、BGPがすぐに保護されることはないので、別の緩和策を見つける必要がありました。2019年に展開する予定の解決策は、マルチパースペクティブ検証です。これは、複数のネットワークパースペクティブ(異なる自律システム)からチェックするというものです。これは、潜在的なBGPハイジャッカーが攻撃を成功させるためには、同時に複数のルートをハイジャックする必要があることを意味し、単一のルートをハイジャックするよりも大幅に困難です。私たちは、プリンストンの才能ある研究チームと協力して、可能な限り最も効果的なマルチパースペクティブ検証システムを設計しており、すでにこの機能の一部をステージング環境でオンにしています。
また、2019年には証明書透明性(CT)ログを導入する予定です。Let's Encryptのようなすべての認証局は、CTログに証明書を提出する必要がありますが、エコシステムには十分な安定したログがありません。そのため、私たちはすべてのCAが提出できるログを実行する計画を進めています。
2018年にはECDSAルート証明書と中間証明書を追加する予定でしたが、他の優先事項が最終的に優先されました。2019年にはこれを行いたいと考えています。ECDSAは、RSAよりも効率的であるという事実により、Web上のデジタル署名アルゴリズムの将来であると考えられています。Let's Encryptは現在、加入者からのECDSAキーに署名しますが、私たちの中間証明書の1つからのRSAキーで署名します。ECDSAルートと中間証明書を取得すると、加入者は完全にECDSAである証明書チェーンを展開できるようになります。
インフラストラクチャ
当社のCAインフラストラクチャは、安定性のための冗長性と、物理的および論理的なさまざまなセキュリティ保護により、1日に数百万の証明書を発行できます。当社のインフラストラクチャは、毎日約4000万のOCSP応答を生成および署名し、これらの応答を1日に約55億回提供しています。これらの数は、2019年には約40%増加すると予想しています。
当社の物理的なCAインフラストラクチャは現在、主にコンピューターサーバー、ストレージ、HSM、スイッチ、およびファイアウォールで構成され、2つのデータセンター間で約55ユニットのラックスペースを占めています。より多くの証明書を発行すると、データベースのストレージに最も負荷がかかります。私たちは定期的にデータベースサーバー用のより高速なストレージに投資しており、それは2019年も継続します。
当社のすべてのインフラストラクチャは、6人のスタッフで構成されるサイト信頼性エンジニアリング(SRE)チームによって管理されています。SREスタッフは、すべての物理的および論理的なCAインフラストラクチャの構築と保守を担当します。これらのスタッフは、当社の高いセキュリティおよびコンプライアンス基準の主な責任者です。チームは、24時間365日のオンコールスケジュールも管理しており、セキュリティ監査とコンプライアンス監査の両方に主要な参加者です。
財務
私たちは効率的な組織であることを誇りに思っています。2019年、Let's Encryptはわずか360万ドルの予算でWebの大部分を保護します。私たちは、これが素晴らしい価値を表しており、Let's Encryptに貢献することが、より安全でプライバシーを尊重するWebを作成するための最も効果的な方法の1つであると信じています。
私たちの2019年の資金調達活動は、Cisco、OVH、Mozilla、Google Chrome、Electronic Frontier Foundation、Internet Societyからのプラチナスポンサーシップ、および他の多くのゴールドおよびシルバースポンサーによって順調にスタートしています。フォード財団もLet's Encryptへの助成金を更新しました。2019年のすべてのニーズを満たすために、追加のスポンサーシップと助成金を求めています。
Let's Encryptをサポートしてください
私たちは、サービスを提供するために、ユーザーとサポーターのコミュニティからの貢献に依存しています。あなたの会社または組織がLet's Encryptをスポンサーしたい場合は、sponsor@letsencrypt.orgまでメールでお問い合わせください。もしそれができるのであれば、個人として寄付をお願いします。
私たちは、業界とコミュニティからのサポートに感謝しており、より安全でプライバシーを尊重するWebを作成し続けることを楽しみにしています!