Hvordan Lets Encrypt fordoblede internets procentdel af sikre websteder på fire år

Procentdelen af ​​websteder, der er beskyttet med HTTPS sikker kryptering - angivet med låseikonet i adresselinjen i de fleste browsere - er sprunget fra godt 40% i 2016 til 80% i dag.

Det skyldes i høj grad indsatsen fra Let's Encrypt, en nonprofit-certifikatmyndighed, der blev grundlagt i 2013 af J. Alex Halderman, en professor i datalogi og teknik fra University of Michigan.

Ved at tilbyde en gratis service, Lad os kryptere har gjort implementeringen af ​​HTTPS fra en dyr, kompliceret proces til et let trin, der er inden for rækkevidde for alle websteder. Certifikatmyndigheden er nu verdens største, giver flere HTTPS -certifikater end alle andre certifikatmyndigheder tilsammen.

Halderman og hans samarbejdspartnere hos Let's Encrypt — the Electronic Frontier Foundation, Mozilla, Cisco og Stanford University - har udgivet et papir, der beskriver, hvordan projektet blev gennemført. De håber, at det fungerer som en model til effektivisering af andre aspekter af internetinfrastrukturen, vi alle er afhængige af hver dag.

Hvad er en HTTPS -certificeringsmyndighed egentlig?

Halderman:HTTPS er den protokol, som webbrowsere bruger til at tale med webservere over en krypteret forbindelse. Det giver fortrolighed ved at forhindre aflyttere i at give mening om dataene. Det giver integritet ved at forhindre ondsindede netværk i at ændre dataene. Og det giver godkendelse ved at sikre, at du taler med den server, der vises i browserens adresselinje i stedet for en bedrager. Den sidste del er vigtig. Hvis HTTPS ikke havde godkendelse, en angriber kunne omdirigere forbindelsen til en server, de kontrollerede og læse eller ændre dataene.

Godkendelse er også den vanskelige del, og det er her, certifikatmyndighederne kommer ind. De er en lille gruppe af organisationer, som webbrowsere har tillid til at stå inde for serverenes identitet. For at implementere HTTPS, et websted skal først bevise over for en certificeringsmyndighed, at det virkelig er serveren på et bestemt internetdomæne. Derefter udsteder certifikatmyndigheden stedet et digitalt signeret certifikat, som fungerer som et kørekort til at lade browsere bekræfte sin identitet.

Hvorfor er kryptering vigtig på websteder, der ikke håndterer følsomme oplysninger?

Halderman:Da HTTPS blev opfundet i 1990'erne, det var hovedsageligt beregnet til kreditkorttransaktioner og netbank. Men siden da, Internettet er blevet et meget farligere sted. Edward Snowden viste os, at regeringer overvåger trafik på global skala. Vi har også set tilfælde, hvor regeringer og andre har ændret internettrafik for at angribe brugerens computer, eller at bruge deres computer til at angribe tredjeparter.

Så i dag, kryptering er vigtig ikke kun for finansielle transaktioner, men for al online kommunikation. Derfor er det vigtigt at gøre det tilgængeligt for enhver webstedsoperatør, og Lad os kryptere gør netop det. Det har været særligt godt til at drive HTTPS -adoption på mindre websteder, der ikke har ressourcer til at få et certifikat gennem den traditionelle proces.

Hvorfor har HTTPS været så svært at implementere?

Halderman:Traditionelt set implementering af HTTPS har krævet, at webstedsoperatører vælger en certifikatmyndighed, bevise deres identitet for dem, betale så meget som et par hundrede dollars for et certifikat, vent på den kommer, følg derefter en kompliceret række trin for at installere det. Du skal gentage processen hvert år eller to, og hvis du ikke gør det til tiden, dit websted kan gå ned. Så mange hjemmesider, især mindre, forlod lige deres websteder ukrypteret.

Lad os kryptere er en anden slags certifikatmyndighed, der leverer gratis certifikater gennem en automatiseret proces, der ofte kun tager et klik, og nogle gange er det en automatisk del af webstedets opsætning. Det har drevet en enorm stigning i antallet af sikrede websteder.

Hvordan kan Let's Encrypt levere certifikater gratis?

Halderman:Først, Let's Encrypt er nonprofit og finansieres hovedsageligt af donationer fra store tech -virksomheder. Det er forskelligt fra de fleste certifikatmyndigheder. For det andet, og måske modsat, gør certifikater gratis drastisk reducerer omkostningerne ved at udstede dem. Betaling er en stor kilde til friktion, der gør processen meget sværere at automatisere.

Så når du fjerner den friktion, certifikater bliver meget enklere at udstede. Når vi forenklede processen, vi var i stand til at automatisere det ved at bygge et softwaresystem kaldet ACME -protokollen. ACME sænker omkostningerne ved hvert certifikat Lad os kryptere problemer til en brøkdel af en cent.

Hvorfor udkommer dit teams første papir om Let's Encrypt fire år efter lanceringen?

Halderman:Fordi det var en skør idé at oprette en ny form for certifikatmyndighed, der uddeler gratis certifikater. Hvis vi havde skrevet papiret, før vi byggede det, det ville ikke være blevet offentliggjort. Vi måtte bevise, at økonomien ville fungere, og der var ingen anden måde at gøre det end bare at bygge det.

Fire år senere, Lad os kryptere har været vildt succesrig. Og jeg håber dette papir, som ser tilbage på, hvordan vi byggede det og måler det påvirke på nettet, kan hjælpe med at sprede nogle af de erfaringer, vi har lært for at hjælpe andre dele af internetinfrastrukturen med at fungere bedre.

Hvad er nogle af disse lektioner, og hvordan kan de hjælpe på andre områder?

Halderman:En del af det, der får Let's Encrypt til at fungere, er, at det er en neutral part, der opererer i offentlighedens interesse frem for et produkt af et stort tech -selskab. Det gør det til noget, alle kan stole på, og som ingen virksomheder har en altoverskyggende andel i.

Der er andre steder, hvor godkendelse og samarbejde er nødvendigt. For eksempel, Internetudbydere arbejder ofte sammen om routingprotokoller, der leder information rundt på internettet. Men selve processen er ikke krypteret og kan udsættes for angreb. Det er et sted, hvor en model, der ligner Let's Encrypt, kunne fungere godt.

Du nævnte, at Let's Encrypt var en skør idé i 2013. I dag, det virker ikke så tosset. Hvordan kommer du fra "skør idé" til "hvorfor tænkte jeg ikke på det?"

Halderman:Ved at se ud over de sædvanlige akademiske succesmål som antal papirer eller kommercielle startups. Vi kan gøre det i Michigan, fordi virkningen i virkeligheden er i DNA'et fra College of Engineering. Og for at være ærlig, Jeg tror ikke, der er mange andre universiteter, hvor dette kunne være sket.

Da vi startede dette projekt, vi vidste, at det ikke snart ville blive en traditionel akademisk opgave. Men folk her så, at det sandsynligvis ville være værdifuldt for verden, og de støttede arbejdet - alle fra de kolleger, der lejede mig til specialeudvalget for ph.d. studerende, der hjalp med at designe ACME. Den støtte var det, der gjorde os i stand til at drive projektet hele vejen til succes.

Papiret, Lad os kryptere:En automatiseret certificeringsmyndighed til at kryptere hele webstedet, vil blive præsenteret 14. november på ACM -konferencen om computer- og kommunikationssikkerhed i London.