Die Macher der freien CA Let’s Encrypt werfen einen Blick in die Zukunft. 2019 erwartet das Projekt ordentliche Zuwächse und will unter anderem eine Multiperspektiv-Validierung einführen.
Rund 150 Millionen Fully Qualified Domains (FQD) und etwas weniger als 90 Millionen aktive Zertifikate liefert das Lets-Encrypt-Projekt mittlerweile aus (Abbildung 1). Für 2019 rechnet das Projekt, das sich einem komplett mit HTTPS verschlüsselten Internet verschrieben hat, mit weiteren Zuwächsen. Bis zu 120 Millionen weitere aktive Zertifikate und bis zu 215 Millionen FQDs erwartet das Projekt laut einem aktuellen Blogpost für das neue Jahr.

Let’s Encrypt beliefert mittlerweile Millionen von Nutzern (Quelle: https://letsencrypt.org).
Den großen Erfolg führen die Entwickler vor allem auf die Clientsoftware zurück. Mehr als 85 Optionen zur Integration bietet Let’s Encrypt mittlerweile an. Nach dem Einbau des eigenen Acme-Protokolls in den Webserver Apache will Let’s Encrypt demnächst auch Nginx mit Acme ausrüsten. Zugleich hänge der Zuwachs damit zusammen, dass die Vorteile von HTTPS mehr im Fokus der Browserhersteller, Hoster und Medien stehen.
Neue Features
In Planung für 2019 ist zudem eine Multiperspektiv-Validierung. Die soll in Fällen helfen, in denen Angreifer das Border Gateway Protocol missbrauchen, um Netzwerkrouten zu verändern und so valide Zertifikate von der CA zu erhalten. Die Multiperspektiv-Validierung prüft eine Domain aus unterschiedlichen Autonomen Systemen (AS) heraus. BGP-Angreifer müssten so simultan verschiedene Routen übernehmen, was den Angriffsaufwand deutlich in die Höhe treiben würde. Die Implementierung geschieht in Zusammenarbeit mit einem Team aus Princeton, Teile davon sind bereits in der Testumgebung eingebaut.
Neu ist auch der Plan, 2019 ein Certificate Transparency (CT) Log aufzubauen. Zwar müssen alle CAs ihre Zertifikate an ein CT-Log schicken, in der Praxis fehle es im Ökosystem allerdings an stabilen Logs. Let’s Encrypt will nun ein solches Log nicht nur nutzen, sondern auch für alle anderen CAs anbieten. Zudem will das Projekt wie eigentlich schon für 2018 geplant ECDSA für Root- und zwischengelagerte Zertifikate im neuen Jahr einführen. Aktuell nutzt es für ECDSA-Keys von Nutzern noch die rechenaufwändigeren RSA-Schlüssel. Künftig will man aber komplette ECDSA-Chains ermöglichen.
Datenflut kostet
Um täglich Millionen von Zertifikaten zu verwalten, betreibt Let’s Encrypt eine enorm aufwändige, redundante und sichere Infrastruktur. Diese generiert und signiert um die 40 Millionen OCSP-Antworten am Tag und liefert diese rund 5,5 Milliarden mal aus.
Weil sich die Zahlen 2019 geschätzt noch um 40 Prozent erhöhen, stehe vor allem die Datenbanken unter Stress. Das Projekt sucht daher auch 2019 nach schnellerem Storage für diese. Das kostet Geld. Hinzu kommt die Finanzierung des lediglich sechsköpfigen SRE-Teams, das die komplette Let’s-Encrypt-Infrastruktur überschaut, aber auch finanziert sein will. 2019 sucht das Projekt daher weiterhin nach alten und neuen Sponsoren — sowohl nach privaten als auch unternehmerischen.






