เลทส์ เอนคริปท์
| การก่อตัว | 18 พฤศจิกายน 2557 |
|---|---|
| ผู้ก่อตั้ง | |
| สำนักงานใหญ่ | ซานฟรานซิสโกรัฐแคลิฟอร์เนียสหรัฐอเมริกา |
| พิกัด | 37°48′01″เหนือ122°27′00″ตะวันตก / 37.800322°N 122.449951°W |
| บริการ | หน่วยงานออกใบรับรองX-509 |
องค์กรแม่ | กลุ่มวิจัยความปลอดภัยทางอินเทอร์เน็ต |
| งบประมาณ | 3.6 ล้านดอลลาร์สหรัฐ[ 1 ] (2019) |
| พนักงาน | 27 [ 2 ] (2023) |
| เว็บไซต์ | letsencrypt.org |
Let's Encryptเป็นหน่วยงานออกใบรับรองที่ไม่แสวงหาผลกำไร ซึ่งดำเนินการโดยInternet Security Research Group (ISRG) ที่ให้บริการใบรับรองX.509สำหรับ การเข้ารหัส Transport Layer Security (TLS) โดยไม่คิดค่าธรรมเนียม เป็นหน่วยงานออกใบรับรองที่ใหญ่ที่สุดในโลก[ 3 ] ซึ่งใช้ งานโดยเว็บไซต์มากกว่า 700 ล้านเว็บไซต์ [ 4 ]โดยมีเป้าหมายในการสร้างเว็บที่ปลอดภัยและเคารพความเป็นส่วนตัวมากขึ้นผ่านการใช้งานHTTPS อย่างแพร่หลาย Internet Security Research Groupซึ่งเป็นผู้ให้บริการ เป็นองค์กรสาธารณประโยชน์[ 5 ]ผู้สนับสนุนหลักของ ISRG ได้แก่Electronic Frontier Foundation (EFF), Mozilla Foundation , OVHcloud , Cisco Systems , Facebook , Google Chrome , Internet Society , AWS , NginxและGates Foundation [ 6 ] พันธมิตรอื่น ๆได้แก่ หน่วยงานออกใบรับรอง IdenTrust [ 7 ]มหาวิทยาลัยมิชิแกน[ 8 ] และLinux Foundation [ 9 ]
ภาพรวม


ภารกิจขององค์กรคือการสร้างเวิลด์ไวด์เว็บ ที่ปลอดภัยและเคารพความเป็นส่วนตัวมากขึ้น โดยการส่งเสริมการใช้งาน HTTPS อย่างแพร่หลาย[ 10 ]ใบรับรอง Let's Encrypt มีอายุการใช้งาน 90 วันโดยค่าเริ่มต้น ซึ่งสามารถต่ออายุได้ตลอดเวลา[ 11 ]นอกจากนี้ ยังสามารถออกใบรับรองที่มีอายุการใช้งาน 45 วัน (โปรไฟล์ tlsserver) และ 6 วัน (โปรไฟล์ shortlived) ได้[ 12 ] [ 13 ]กระบวนการนี้ดำเนินการโดยระบบอัตโนมัติที่ออกแบบมาเพื่อเอาชนะการสร้างการตรวจสอบการลงนามการติดตั้ง และการต่ออายุใบรับรองสำหรับเว็บไซต์ที่ปลอดภัยด้วย ตนเอง [ 14 ] [ 15 ]โครงการนี้อ้างว่าเป้าหมายคือการทำให้การเชื่อมต่อที่เข้ารหัสไปยังเซิร์ฟเวอร์เวิลด์ไวด์เว็บแพร่หลาย[ 16 ]โดยการกำจัดงานการชำระเงิน การกำหนดค่าเว็บเซิร์ฟเวอร์การจัดการอีเมล ตรวจสอบ และการต่ออายุใบรับรอง จะทำให้ความซับซ้อนของการตั้งค่าและการบำรุงรักษาการเข้ารหัส TLS ลดลงอย่างมาก[ 17 ]
บน เว็บเซิร์ฟเวอร์ Linuxการเรียกใช้คำสั่งเพียงสองคำสั่งก็เพียงพอที่จะตั้งค่า การเข้ารหัส HTTPSและรับและติดตั้งใบรับรอง[ 18 ] [ 19 ]ด้วยเหตุนี้ จึงมีการรวมแพ็คเกจซอฟต์แวร์ไว้ในที่เก็บซอฟต์แวร์ อย่างเป็นทางการ ของDebianและUbuntu [ 20 ] [ 21 ] โครงการ ริเริ่มในปัจจุบันของผู้พัฒนาเบราว์เซอร์รายใหญ่ เช่นMozillaและGoogleที่ต้องการยกเลิกHTTPที่ไม่ได้เข้ารหัสกำลังพึ่งพาความพร้อมใช้งานของ Let's Encrypt [ 22 ] [ 23 ]โครงการนี้ได้รับการยอมรับว่ามีศักยภาพที่จะทำให้การเชื่อมต่อที่เข้ารหัสเป็นค่าเริ่มต้นสำหรับเว็บทั้งหมด[ 24 ]
บริการนี้ออกใบรับรองที่ตรวจสอบโดเมน เท่านั้น เนื่องจากสามารถดำเนินการโดยอัตโนมัติได้อย่างสมบูรณ์ ใบรับรอง การตรวจสอบองค์กรและการตรวจสอบแบบขยายจำเป็นต้องมีการตรวจสอบโดยมนุษย์สำหรับผู้ลงทะเบียนทุกคน ดังนั้น Let's Encrypt จึงไม่ให้บริการ[ 25 ]การสนับสนุนACME v2และใบรับรองแบบไวด์การ์ดถูกเพิ่มเข้ามาในเดือนมีนาคม 2018 [ 26 ] การตรวจสอบโดเมน (DV) ที่ Let's Encrypt ใช้มีมาตั้งแต่ปี 2002 และในตอนแรกเป็นที่ถกเถียงกันเมื่อ GeoTrustนำมาใช้ก่อนที่จะกลายเป็นวิธีการที่ได้รับการยอมรับอย่างกว้างขวางสำหรับการออกใบรับรอง SSL [ 27 ]
ด้วยการมีความโปร่งใสมากที่สุดเท่าที่จะเป็นไปได้ องค์กรหวังที่จะปกป้องความน่าเชื่อถือของตนเองและป้องกันการโจมตีและการพยายามบิดเบือนข้อมูล เพื่อจุดประสงค์นั้น องค์กรจึงเผยแพร่รายงานความโปร่งใสเป็นประจำ[ 28 ] บันทึกธุรกรรม ACMEทั้งหมดต่อสาธารณะ(เช่น โดยใช้Certificate Transparency ) และใช้มาตรฐานแบบเปิดและซอฟต์แวร์ฟรีให้มากที่สุดเท่าที่จะเป็นไปได้[ 18 ]
ประวัติศาสตร์
โครงการ Let's Encrypt เริ่มต้นในปี 2012 โดยพนักงาน Mozilla สองคนคือ Josh Aas และ Eric Rescorla ร่วมกับPeter Eckersleyจาก Electronic Frontier Foundation และJ. Alex HaldermanจากมหาวิทยาลัยมิชิแกนบริษัทInternet Security Research Groupซึ่งเป็นบริษัทที่อยู่เบื้องหลัง Let's Encrypt ได้จดทะเบียนจัดตั้งบริษัทในเดือนพฤษภาคม 2013 [ 8 ]
Let's Encrypt ได้รับการประกาศต่อสาธารณะเมื่อวันที่ 18 พฤศจิกายน 2014 [ 29 ]
เมื่อวันที่ 28 มกราคม 2015 โปรโตคอล ACME ได้ถูกส่งไปยัง IETF อย่างเป็นทางการเพื่อการกำหนดมาตรฐาน[ 30 ] เมื่อวันที่ 9 เมษายน 2015 ISRG และLinux Foundationได้ประกาศความร่วมมือกัน[ 9 ] ใบรับรองรากและใบรับรองระดับกลางถูกสร้างขึ้นในช่วงต้นเดือนมิถุนายน[ 31 ] เมื่อวันที่ 16 มิถุนายน 2015 ได้มีการประกาศกำหนดการเปิดตัวบริการขั้นสุดท้าย โดยคาดว่าจะออกใบรับรองใบแรกในช่วงสัปดาห์ของวันที่ 27 กรกฎาคม 2015 ตามด้วยช่วงเวลาการออกใบรับรองแบบจำกัดเพื่อทดสอบความปลอดภัยและความสามารถในการขยายขนาดเดิมทีมีการวางแผนให้เปิดให้บริการทั่วไป ในช่วงสัปดาห์ของวันที่ 14 กันยายน 2558 [ 32 ]เมื่อวันที่ 7 สิงหาคม 2558 ได้มีการแก้ไขกำหนดการเปิดตัวเพื่อให้มีเวลามากขึ้นในการตรวจสอบความปลอดภัยและความเสถียรของระบบ โดยจะออกใบรับรองฉบับแรกในสัปดาห์ของวันที่ 7 กันยายน 2558 และเปิดให้บริการทั่วไปในสัปดาห์ของวันที่ 16 พฤศจิกายน 2558 [ 33 ]
เมื่อ วัน ที่ 14 กันยายน 2015 Let 's Encrypt ได้ออกใบรับรองฉบับแรกสำหรับโดเมนhelloworld.letsencrypt.org ใน
เมื่อวันที่ 19 ตุลาคม พ.ศ. 2558 ใบรับรองระดับกลางได้รับการลงนามร่วมกันโดยIdenTrustทำให้ใบรับรองทั้งหมดที่ออกโดย Let's Encrypt ได้รับการยอมรับจากเบราว์เซอร์หลักทั้งหมด[ 7 ]
เมื่อวันที่ 12 พฤศจิกายน 2015 Let's Encrypt ประกาศว่าจะเปิดให้ใช้งานทั่วไปอีกครั้ง และ จะเริ่ม เบต้าสาธารณะ ครั้งแรก ในวันที่ 3 ธันวาคม 2015 [ 35 ]เบต้าสาธารณะเปิดให้ใช้งานตั้งแต่วันที่ 3 ธันวาคม 2015 [ 36 ]ถึงวันที่ 12 เมษายน 2016 [ 37 ]และเปิดตัวอย่างเป็นทางการในวันที่ 12 เมษายน 2016 [ 38 ] [ 39 ] [ 5 ]
เมื่อวันที่ 3 มีนาคม 2020 Let's Encrypt ประกาศว่าจะต้องเพิกถอนใบรับรองมากกว่า 3 ล้านใบในวันที่ 4 มีนาคม เนื่องจากข้อบกพร่องในซอฟต์แวร์ Certificate Authority [ 40 ]จากการทำงานร่วมกับผู้จำหน่ายซอฟต์แวร์และติดต่อผู้ดำเนินการเว็บไซต์ Let's Encrypt สามารถต่ออายุใบรับรองที่ได้รับผลกระทบได้ 1.7 ล้านใบก่อนถึงกำหนด พวกเขาตัดสินใจที่จะไม่เพิกถอนใบรับรองที่เหลือ เนื่องจากความเสี่ยงด้านความปลอดภัยต่ำและใบรับรองจะหมดอายุภายใน 90 วันข้างหน้า[ 41 ]เหตุการณ์การเพิกถอนจำนวนมากนี้ได้เพิ่มอัตราการเพิกถอนทั่วโลกอย่างมีนัยสำคัญ[ 42 ]
ในเดือนมีนาคม พ.ศ. 2563 Let's Encrypt ได้รับ รางวัลประจำปีจาก มูลนิธิซอฟต์แวร์เสรีสำหรับโครงการที่เป็นประโยชน์ต่อสังคม[ 43 ]
เมื่อวันที่ 27 กุมภาพันธ์ พ.ศ. 2563 Let's Encrypt ประกาศว่าได้ออกใบรับรองครบ 1,000 ใบแล้ว[ 44 ]
ในเดือนเมษายน พ.ศ. 2565 Let's Encrypt ได้รับรางวัลLevchin Prizeสำหรับ “การปรับปรุงที่สำคัญต่อระบบนิเวศของใบรับรองที่ให้ใบรับรองฟรีสำหรับทุกคน” [ 45 ]
ณ ปี 2025 Let's Encrypt ให้บริการเว็บไซต์มากกว่า 700 ล้านแห่งทั่วโลก ทำให้เป็นหน่วยงานออกใบรับรองที่ใหญ่ที่สุดในโลก[ 4 ]
ในเดือนมกราคม พ.ศ. 2568 Let's Encrypt ประกาศยุติการแจ้งเตือนการหมดอายุของอีเมลฟรี และแนะนำRed Sift Certificates Lite เป็นบริการตรวจสอบใบรับรอง[ 46 ] [ 47 ]
เทคโนโลยี
ห่วงโซ่ความไว้วางใจ
ISRG Root X1 (RSA)
ในเดือนมิถุนายน พ.ศ. 2558 Let's Encrypt ประกาศการสร้าง ใบรับรองราก RSA ตัวแรก ISRG Root X1 [ 48 ]ใบรับรองรากนี้ใช้ในการลงนามใบรับรองระดับกลาง สอง ใบ[ 48 ]ซึ่งได้รับการลงนามร่วมกันโดยหน่วยงานออกใบรับรองIdenTrust [ 7 ] [ 49 ] ใบรับรองระดับกลางใบหนึ่งใช้ในการลงนามใบรับรองที่ออก ในขณะที่อีกใบหนึ่งเก็บไว้แบบออฟไลน์เป็นข้อมูลสำรองในกรณีที่เกิดปัญหาเกี่ยวกับใบรับรองระดับกลางใบแรก[ 48 ]เนื่องจากใบรับรอง IdenTrust ได้รับความไว้วางใจอย่างกว้างขวางจากเว็บเบราว์เซอร์หลักๆ อยู่แล้ว ใบรับรอง Let's Encrypt จึงสามารถตรวจสอบและยอมรับได้โดยฝ่ายที่พึ่งพา[ 31 ]แม้กระทั่งก่อนที่ผู้จำหน่ายเบราว์เซอร์จะรวม ใบรับรองราก ISRGเป็น จุด ยึด ความเชื่อถือ
ISRG Root X2 (ECDSA)
นักพัฒนา Let's Encrypt วางแผนที่จะสร้าง คีย์รูท ECDSAตั้งแต่ปี 2015 [ 48 ]แต่ได้เลื่อนแผนออกไปเป็นต้นปี 2016 จากนั้นเป็นปี 2019 และสุดท้ายเป็นปี 2020 ในวันที่ 3 กันยายน 2020 Let's Encrypt ได้ออกใบรับรองใหม่ 6 ใบ ได้แก่ รูท ECDSA ใหม่ 1 ใบชื่อ "ISRG Root X2" ใบรับรองระดับกลาง 4 ใบ และใบรับรองแบบลงนามร่วม 1 ใบ ISRG Root X2 ใหม่นี้ลงนามร่วมกับ ISRG Root X1 ซึ่งเป็นใบรับรองรูทของ Let's Encrypt เอง Let's Encrypt ไม่ได้ออก OCSP responder สำหรับใบรับรองระดับกลางใหม่ และวางแผนที่จะใช้รายการเพิกถอนใบรับรอง (CRL) เพียงอย่างเดียวในการเรียกคืนใบรับรองที่ถูกบุกรุก และกำหนดระยะเวลาความถูกต้องสั้นๆ เพื่อลดอันตรายจากการบุกรุกใบรับรอง[ 50 ]
โปรโตคอล ACME
โปรโตคอลการตอบรับแบบท้าทายที่ใช้ในการลงทะเบียนกับหน่วยงานออกใบรับรองโดยอัตโนมัติเรียกว่าAutomatic Certificate Management Environment (ACME) ACME สามารถสอบถามเซิร์ฟเวอร์เว็บหรือเซิร์ฟเวอร์ DNS ที่ควบคุมโดยโดเมนที่ครอบคลุมโดยใบรับรองที่จะออก การควบคุมโดเมนของผู้ลงทะเบียนจะได้รับการรับรองโดยขึ้นอยู่กับว่าการตอบกลับที่ได้รับตรงกับความคาดหวังหรือไม่ (การตรวจสอบโดเมน) ซอฟต์แวร์ไคลเอ็นต์ ACME สามารถตั้งค่าเซิร์ฟเวอร์ TLS เฉพาะที่จะได้รับการสอบถามจากเซิร์ฟเวอร์หน่วยงานออกใบรับรอง ACME ด้วยคำขอโดยใช้Server Name Indication (การตรวจสอบโดเมนโดยใช้ Server Name Indication, DVSNI) หรือสามารถใช้hooksเพื่อเผยแพร่การตอบกลับไปยังเซิร์ฟเวอร์เว็บและ DNS ที่มีอยู่ได้
กระบวนการตรวจสอบความถูกต้องจะดำเนินการหลายครั้งผ่านเส้นทางเครือข่ายที่แตกต่างกัน การตรวจสอบว่ามีการจัดสรรรายการ DNS หรือไม่นั้นทำจากหลายตำแหน่งทางภูมิศาสตร์ที่แตกต่างกัน เพื่อลดความยากลำบากในการโจมตีด้วยการปลอมแปลง DNS
การโต้ตอบของ ACME ขึ้นอยู่กับการแลกเปลี่ยน เอกสาร JSONผ่านการเชื่อมต่อ HTTPS [ 51 ]ข้อกำหนดที่พัฒนาโดยInternet Engineering Task Force (IETF) เป็นมาตรฐานที่เสนอ RFC 8555 [ 52 ]
ก่อนที่ RFC 8555 จะเสร็จสมบูรณ์และเผยแพร่ Let's Encrypt ได้นำโปรโตคอล ACME ฉบับร่างก่อนมาตรฐานมาใช้ RFC 8555 ได้นำเสนอการเปลี่ยนแปลงที่สำคัญ และด้วยเหตุนี้จึงถูกเรียกว่า ACMEv2 Let's Encrypt ได้นำเวอร์ชันใหม่มาใช้และเริ่มผลักดันให้ไคลเอนต์ที่มีอยู่ทำการอัปเกรด การกระตุ้นดังกล่าวได้ดำเนินการโดยมีการปิดใช้งาน API ของ ACMEv1 เป็นระยะๆ การสิ้นสุดอายุการใช้งานได้รับการประกาศพร้อมวันที่และขั้นตอนใน "แผนการสิ้นสุดอายุการใช้งานสำหรับ ACMEv1" [ 53 ] ตั้งแต่วันที่ 8 พฤศจิกายน 2019 ACMEv1 จะไม่รับการลงทะเบียนบัญชีใหม่ ตั้งแต่วันที่ 1 มิถุนายน 2020 ACMEv1 ได้หยุดรับการตรวจสอบโดเมนใหม่ ตั้งแต่วันที่ 1 มกราคม 2021 ACMEv1 ได้มี การปิดใช้งานชั่วคราวเป็นเวลา 24 ชั่วโมงAPI ของ ACMEv1 ถูกปิดใช้งานอย่างสมบูรณ์ในวันที่ 1 มิถุนายน 2021 [ 54 ]
การนำซอฟต์แวร์ไปใช้

หน่วยงานออกใบรับรองประกอบด้วยซอฟต์แวร์ที่เรียกว่า Boulder ซึ่งเขียนด้วยภาษา Goที่ใช้ฝั่งเซิร์ฟเวอร์ของ โปรโตคอล ACME ซอฟต์แวร์ นี้เผยแพร่เป็นซอฟต์แวร์ฟรีพร้อมซอร์สโค้ดภายใต้เงื่อนไขของMozilla Public License (MPL) เวอร์ชัน 2 [ 55 ]โดยมีAPI แบบ RESTful ที่สามารถเข้าถึงได้ผ่านช่องทางที่เข้ารหัส TLS
โปรแกรมจัดการใบรับรองPythonที่ได้รับอนุญาตจากApache [ 56 ] ชื่อ certbot (เดิมชื่อ letsencrypt ) จะถูกติดตั้งที่ฝั่งไคลเอ็นต์ (เว็บเซิร์ฟเวอร์ของผู้ลงทะเบียน) โปรแกรมนี้ใช้ในการสั่งซื้อใบรับรอง ดำเนินการตรวจสอบความถูกต้องของโดเมน ติดตั้งใบรับรอง กำหนดค่าการเข้ารหัส HTTPS ในเซิร์ฟเวอร์ HTTP และต่อมาใช้ในการต่ออายุใบรับรองเป็นประจำ[ 18 ] [ 57 ]หลังจากการติดตั้งและยอมรับข้อตกลงใบอนุญาตผู้ใช้แล้ว การเรียกใช้คำสั่งเพียงคำสั่งเดียวก็เพียงพอที่จะติดตั้งใบรับรองที่ถูกต้องได้ นอกจากนี้ยังสามารถเปิดใช้งานตัวเลือกเพิ่มเติม เช่นOCSP staplingหรือHTTP Strict Transport Security (HSTS) ได้อีกด้วย[ 51 ]การตั้งค่าอัตโนมัติในตอนแรกใช้งานได้เฉพาะกับApacheและnginxเท่านั้น
Let's Encrypt ออกใบรับรองที่มีอายุใช้งาน 90 วัน เหตุผลที่ระบุไว้คือใบรับรองเหล่านี้ "จำกัดความเสียหายจากการรั่วไหลของคีย์และการออกใบรับรองผิดพลาด" และส่งเสริมการทำงานอัตโนมัติ[ 58 ]
ในขั้นต้น Let's Encrypt ได้พัฒนาไคลเอ็นต์ ACME ของตนเอง – Certbot – เป็นการใช้งานอย่างเป็นทางการ ต่อมาได้มีการโอนไปยังElectronic Frontier Foundationและเปลี่ยนชื่อจาก "letsencrypt" เป็น "certbot" มีไคลเอ็นต์ ACME และโปรเจกต์จำนวนมากสำหรับสภาพแวดล้อมต่างๆ ที่พัฒนาโดยชุมชน[ 59 ]
ดูเพิ่มเติม
อ่านเพิ่มเติม
- Barnes, R.; Hoffman-Andrews, J.; McCarney, D.; Kasten, J. (มีนาคม 2019). Automatic Certificate Management Environment (ACME) RFC 8555 . IETF .
ลิงก์ภายนอก
- เว็บไซต์อย่างเป็นทางการ
- เซอร์ทบอท
- Let's EncryptบนGitHub
- การบรรยายเรื่อง Let's Encrypt ของ Seth Schoen ในงาน Libre Planet 2015
- การบรรยาย ของPeter Eckersley เกี่ยวกับ Let's Encryptในงาน CCCamp 2015
- รายชื่อใบรับรองที่ออกโดย Let's Encrypt
- สถิติ Let's Encrypt – แผนภูมิแบบโต้ตอบแสดงจำนวนใบรับรอง Let's Encrypt ที่ออกให้ในแต่ละวัน