翻了下 Let’s Encrypt 的官方博客职祷，其中有一篇提到了2019年的一些計劃，覺得很有趣蚁鳖，特此分享給大家磺芭。

Let’s Encrypt 是世界上最大、最流行醉箕、且真正免費的 CA 機構(gòu)钾腺，他們對于 HTTPS 普及功不可沒。部署 HTTPS 需要購買 CA 證書讥裤，CA 機構(gòu)是追求盈利的機構(gòu)放棒，不言而喻 Let’s Encrypt 對他們的沖擊有多大，而對網(wǎng)站擁有者來說己英，這就是福音了间螟，免費、免費损肛、真正的免費厢破，而且其功能絲毫不比商業(yè) CA 機構(gòu)差，而且更透明治拿。

我寫過不少關(guān)于 Let’s Encrypt 的文章摩泪，也貢獻(xiàn)過力量（見 https://github.com/ywdblog/certbot-letencrypt-wildcardcertificates-alydns-au 倉庫），大家可以參考我以前寫的文章忍啤。經(jīng)常在互聯(lián)網(wǎng)上看到很多人推銷收費證書加勤，有的時候還是想大聲疾呼仙辟，請使用免費證書！鳄梅！

在2019年的展望中叠国，Let’s Encrypt 從四個方面做了描述，分別是增長戴尸、新特性粟焊、基礎(chǔ)設(shè)施、財務(wù)狀況孙蒙。

增長

從整個大環(huán)境上看项棠，根據(jù) Mozilla 的統(tǒng)計，2018年加密的網(wǎng)頁從67%上漲到77%挎峦。從 Let’s Encrypt 的角度看香追，它的增長趨勢見下圖：

newplot.png

在 2019 年，希望激活的證書達(dá)到1.2億坦胶，fully qualified domains（主機名+注冊域）激活的證書希望是 2.15 億（這二個數(shù)字不一致的原因在于 SAN 證書的原因）透典。

Let’s Encrypt 開創(chuàng)性的提出了 ACME 協(xié)議，讓證書管理（申請顿苇、續(xù)期峭咒、撤銷）完全自動化，目前 Let’s Encrypt 已經(jīng)有了 85 個客戶端軟件支持了纪岁。

Apache 已經(jīng)直接支持 Let’s Encrypt凑队，2019年希望 Nginx 官方也能以模塊的方式直接支持。

新特性

在 2018 年幔翰，最重要的新特性就是 ACMEv2 協(xié)議的發(fā)布漩氨，另外也支持通配符證書了（這個是大殺器，在功能上和傳統(tǒng)CA沒有任何區(qū)別了）导匣。

在 2019 年的規(guī)劃上才菠，主要有三個。

（1）在 2018 年贡定，Let’s Encrypt 支持簽發(fā) ECDSA 服務(wù)器證書，在 2019年可都，其中間證書和根證書也講支持 ECDSA 簽名缓待，從而構(gòu)建完整的 ECDSA 證書鏈。

（2）Let’s Encrypt 在簽發(fā)證書的時候渠牲，會向第三方 CT log 服務(wù)器提交日志旋炒，但他們認(rèn)為第三方的服務(wù)不夠穩(wěn)定，所以在 2019 年會自己構(gòu)建 Certificate Transparency (CT) log 服務(wù)签杈，越來越成熟的 CA 機構(gòu)瘫镇。

（3）構(gòu)建多條校驗機制鼎兽，在用戶申請證書的時候，Let’s Encrypt一般使用校驗域名授權(quán)的方式校驗用戶的身份铣除，但有潛在的安全風(fēng)險谚咬，所以在2019年他們校驗的時候會通過多種機制確保申請者的身份，個人覺得這是非常棒的一個特性尚粘，不像傳統(tǒng) CA 機構(gòu)择卦，由于無法人工審核證書申請用戶身份，所以這個特性能夠避免很多安全風(fēng)險郎嫁。

基礎(chǔ)設(shè)施

不要小看 Let’s Encrypt 的基礎(chǔ)設(shè)施秉继，每天能夠發(fā)布數(shù)百萬張證書，每天要接收 4000萬次 OCSP 查詢泽铛，所以需要很好的服務(wù)能力尚辑。

他們擁有 45 個機架，其中數(shù)據(jù)庫的容量增長是比較大的盔腔。有專業(yè)的 SRE 團隊腌巾，共六個員工，相當(dāng)高效的一個工程團隊铲觉。

財務(wù)

在 2019 年 facebook一次性給了 Let’s Encrypt 三年的白金贊助澈蝙，當(dāng)然思科、Google撵幽、Mozilla 等大型企業(yè)早就贊助他們了灯荧。

他們今年的預(yù)算是 $3.6M，可見團隊和運作模式非常高效盐杂。

而且在 2019年逗载，他們新弄了一個網(wǎng)站，Internet Security Research Group (ISRG)链烈，也就是說未來 ISRG 不僅僅有 Let’s Encrypt 一個項目厉斟，他們還有更多的事業(yè)去搞，以后應(yīng)該換種稱呼 Let’s Encrypt强衡，這就是 ISRG / Let’s Encrypt擦秽。

相關(guān)文章：

• Certobot管理Let's Encrypt證書的幾個經(jīng)驗
• let's encrypt通配符證書自動續(xù)期工具支持騰訊云DNS了
• 主流瀏覽器直接信任Let’s Encrypt根證書，宣告它成為頂級CA
• 不會自動為Let’s Encrypt通配符證書續(xù)期漩勤？我寫了個小工具
• Let’s Encrypt證書支持CT感挥，讓你的網(wǎng)站更安全
• Let's Encrypt 終于支持通配符證書了

歡迎關(guān)注我的公眾號（ID：yudadanwx，虞大膽的嘰嘰喳喳）越败，一直在用心寫触幼。