ISRG Annual Report 2024 (Let’s Encrypt)

Baza wiedzy

ISRG Annual Report 2024 (Let’s Encrypt)

ISRG (Internet Security Research Group) to organizacja non-profit, która poprzez projekty takie jak Let's Encrypt, Prossimo i Divvi Up wspiera budowę bezpieczniejszego, bardziej prywatnego Internetu. Wydaje darmowe certyfikaty TLS, rozwija pamięciobezpieczne oprogramowanie infrastrukturalne i promuje anonimowe zbieranie danych.

Raport roczny ISRG za 2024 rok podsumowuje 10 lat działalności Let's Encrypt (500 milionów domen, 59% całego Internetu), zapowiada krótkoterminowe certyfikaty (6 dni), prezentuje innowacje takie jak ARI i Sunlight oraz szczegółowo opisuje postępy projektów:

Prossimo: wdrażanie Rust w krytycznych komponentach Internetu (Rustls, sudo-rs, ntpd-rs, River, Hickory, Rust in Linux Kernel), Divvi Up: zbieranie danych z poszanowaniem prywatności dzięki protokołom DAP, VDAF, OHTTP i różnicowej prywatności. Raport podkreśla globalne partnerstwa techniczne (IETF, Princeton, Cloudflare, Google), transparentność finansową oraz znaczenie wspólnoty darczyńców.

letsencrypt.org

Wprowadzenie od dyrektora wykonawczego

W 2024 roku mija 10 lat od momentu, gdy ogłosiliśmy powstanie Let’s Encrypt – naszej pierwszej inicjatywy mającej na celu uczynienie Internetu bezpieczniejszym i bardziej zaufanym. Gdy startowaliśmy, nie było oczywiste, że darmowe, zautomatyzowane certyfikaty TLS mogą zmienić świat. Dziś już wiemy: zmieniły.

Obecnie Let’s Encrypt obsługuje ponad 500 milionów unikalnych domen, co stanowi 59% całego Internetu. To dowód na to, że model open source, non-profit i społecznościowego wsparcia naprawdę działa.

Ale na tym nie poprzestajemy. Nasze nowe projekty – Prossimo i Divvi Up – odpowiadają na kolejne wyzwania w obszarze bezpieczeństwa i prywatności:

  • Prossimo sprawia, że kluczowa infrastruktura Internetu staje się pamięciobezpieczna dzięki językowi Rust.
  • Divvi Up pozwala zbierać dane w sposób bezpieczny i prywatny, wykorzystując nowoczesne techniki prywatności różnicowej i szyfrowania.

Dziękujemy wszystkim, którzy wspierają naszą misję. Razem zmieniamy Internet.

— Josh Aas, dyrektor wykonawczy ISRG

Let’s Encrypt – 10 lat szyfrowania sieci

Odważne cele, rzeczywisty wpływ

Let’s Encrypt rozpoczęło swoją działalność z prostym celem: uczynić szyfrowanie powszechnym i bezpłatnym. Po dekadzie:

  • obsługuje ponad 500 milionów unikalnych domen,
  • odpowiada za 59% wszystkich certyfikatów TLS w Internecie,
  • realizuje ponad 3 miliardy żądań OCSP dziennie,
  • utrzymuje średni czas reakcji usługi OCSP na poziomie ~100 ms.

To ogromna zmiana: w 2015 roku zaledwie 40% stron używało HTTPS. Dziś to ponad 90% – w dużej mierze dzięki Let’s Encrypt.

Nowe możliwości i narzędzia

ARI (ACME Renewal Information)

  • Nowy interfejs API, który umożliwia klientom certyfikatów lepiej planować ich odnowienie.
  • Pozwala unikać przeciążeń związanych z masowym odnawianiem w krótkim czasie.
  • W 2024 roku ARI został zintegrowany z najważniejszymi klientami ACME (np. Certbot, Caddy).

Sunlight

  • Narzędzie open source do eksplorowania dzienników certyfikatów (CT – Certificate Transparency).
  • Pomaga w badaniach nad nadużyciami certyfikatów i błędami bezpieczeństwa.
  • Umożliwia przeszukiwanie publicznych rejestrów certyfikatów w czasie rzeczywistym.

Nadchodzące innowacje: krótkoterminowe certyfikaty (6 dni)

W 2024 roku Let’s Encrypt ogłosiło plan wdrożenia certyfikatów ważnych przez 6 dni (zamiast obecnych 90).

Korzyści:

  • znacznie zmniejsza ryzyko kradzieży i nadużycia klucza,
  • ułatwia rotację certyfikatów w środowiskach zautomatyzowanych,
  • umożliwia wyższy poziom bezpieczeństwa dla dużych dostawców usług.

Planowane wdrożenie: późny 2024 / wczesny 2025.

Let’s Encrypt – wsparcie dla otwartego Internetu

Partnerstwa i społeczność open source

Let’s Encrypt współpracuje z wieloma partnerami, którzy wspierają ekosystem certyfikacyjny:

  • Przeglądarki i systemy operacyjne: Google Chrome, Mozilla Firefox, Apple, Microsoft – zintegrowane z Let’s Encrypt jako zaufane CA.
  • Klienci ACME: Certbot, Caddy, win-acme i inne – zapewniają automatyzację procesu wystawiania certyfikatów.
  • Wspólnota programistów: rozwija integracje, skrypty, narzędzia diagnostyczne i rozszerzenia.

Let’s Encrypt wspiera także badania naukowe i udostępnia dane o certyfikatach, by umożliwiać analizy rynku TLS, skanowanie bezpieczeństwa, testy penetracyjne i inne formy audytu.

Dostępność i niezawodność

  • Systemy Let’s Encrypt obsługują ponad 300 milionów aktywnych certyfikatów,
  • gwarantują 99,99% dostępności usług,
  • obsługują żądania OCSP, ARI i ACME globalnie – z pomocą infrastruktury Edge.

Let’s Encrypt zapewnia redundancję i rozproszenie serwerów, co minimalizuje ryzyko niedostępności nawet w przypadku awarii regionalnych.

Globalny zasięg

  • Certyfikaty Let’s Encrypt są używane w ponad 200 krajach i terytoriach,
  • dostępne w wielu językach i integracjach,
  • wspierają użytkowników indywidualnych, małe firmy, szkoły, NGO oraz duże korporacje.

Let’s Encrypt stało się domyślnym wyborem dla bezpiecznego szyfrowania stron internetowych i usług online.

Prossimo – pamięciobezpieczna infrastruktura Internetu

Misja Prossimo

Prossimo to inicjatywa ISRG, której celem jest eliminacja klas błędów związanych z bezpieczeństwem pamięci w kluczowej infrastrukturze Internetu. Osiągane jest to poprzez przepisywanie komponentów systemowych w języku Rust, który oferuje bezpieczeństwo pamięci w czasie kompilacji bez potrzeby stosowania garbage collectora.

Najważniejsze osiągnięcia w 2024 roku

1. sudo-rs

  • Wersja sudo napisana w Rust – zamiennik dla klasycznego narzędzia sudo, szeroko stosowanego do zarządzania uprawnieniami.
  • Wspierana przez ISRG i dostępna jako stabilne narzędzie produkcyjne.

2. Rustls

  • Lekka biblioteka TLS w Rust.
  • Osiągnęła poziom dojrzałości produkcyjnej i jest już używana przez m.in. Cloudflare i AWS.

3. ntpd-rs

  • Bezpieczny zamiennik dla ntpd, odpowiedzialnego za synchronizację czasu w Internecie.
  • Rozwijany we współpracy z Internet Systems Consortium (ISC).

4. River

  • Nowy, pamięciobezpieczny menedżer routingu.
  • Oparty na BGP (Border Gateway Protocol), rozwijany razem z Foundation Devices i innymi partnerami.

5. Hickory

  • Kompletna implementacja klienta i serwera DNS w Rust.
  • Obsługuje DNSSEC, DNS-over-HTTPS i inne nowoczesne funkcje bezpieczeństwa.

6. Rust in Linux Kernel

  • ISRG wspiera projekt dodania Rust do jądra Linuxa, umożliwiając pisanie sterowników i podsystemów w pamięciobezpiecznym języku.

Dzięki Prossimo przyszłość Internetu może być nie tylko szyfrowana, ale też odporna na klasyczne błędy typu buffer overflow, use-after-free, double free itd.

Divvi Up – prywatność i analiza danych nowej generacji

Cel Divvi Up

Divvi Up to system do zbierania danych telemetrycznych z pełnym poszanowaniem prywatności użytkowników. Zamiast klasycznych metod zbierania danych (centralnych, inwazyjnych), Divvi Up wykorzystuje:

  • DAP (Distributed Aggregation Protocol) – opracowany przy współpracy z IETF, pozwala zbierać dane bez znajomości indywidualnych wpisów.
  • VDAF (Verifiable Distributed Aggregation Function) – funkcja umożliwiająca prywatne obliczenia rozproszone.
  • OHTTP (Oblivious HTTP) – pozwala ukryć, kto wysyła dane i jakie są ich treści.
  • Prywatność różnicowa (Differential Privacy) – zabezpieczenie danych zbiorczych przed identyfikacją użytkowników.

Partnerzy i wdrożenia

  • Mozilla i Princeton University są głównymi partnerami badawczymi.
  • Rozwijane są wdrożenia testowe i produkcyjne do zbierania danych o:
    • błędach w przeglądarce,
    • wydajności sieci,
    • złośliwym oprogramowaniu.

Divvi Up to alternatywa dla klasycznych, śledzących systemów telemetrycznych – pozwala budować produkty i usługi bez naruszania prywatności użytkowników.

Finanse i darczyńcy

ISRG działa jako organizacja non-profit, a jej działalność możliwa jest dzięki:

  • darowiznom indywidualnym i korporacyjnym,
  • partnerstwom z firmami technologicznymi (m.in. Google, Cisco, Amazon, Mozilla, Fastly, Internet Society),
  • grantom badawczym i wsparciu społeczności open source.

W 2023 roku ISRG przeznaczyła ponad 80% środków bezpośrednio na rozwój technologii i programów.

Podziękowania

ISRG dziękuje wszystkim użytkownikom, badaczom, programistom, partnerom, darczyńcom i społeczności open source. To właśnie dzięki Wam możliwe jest budowanie Internetu, który jest:

  • bezpieczny (TLS, pamięciobezpieczna infrastruktura),
  • prywatny (Divvi Up),
  • dostępny dla wszystkich (Let’s Encrypt, open source).
Gotowi na odznakę?

Analizujemy wszystkie warstwy ochrony WordPressa, łącząc rzetelne dane z przejrzystymi wynikami.

Uruchom test