Het percentage websites dat is beveiligd met beveiligde HTTPS-encryptie, aangegeven door het hangslotpictogram in de adresbalk van de meeste browsers, is gestegen van iets meer dan 40% in 2016 naar 80% vandaag.

Dat is grotendeels te danken aan de inspanningen van Let's Encrypt, een non-profit certificeringsinstantie mede opgericht in 2013 door J. Alex Halderman, een professor in computerwetenschappen en techniek aan de Universiteit van Michigan.

Door een gratis dienst aan te bieden, Let's Encrypt heeft de implementatie van HTTPS veranderd van een kostbaar, ingewikkeld proces tot een eenvoudige stap die voor alle websites binnen handbereik is. De certificeringsinstantie is nu 's werelds grootste, het verstrekken van meer HTTPS-certificaten dan alle andere certificaatautoriteiten samen.

Halderman en zijn medewerkers bij Let's Encrypt - de Electronic Frontier Foundation, Mozilla, Cisco en Stanford University hebben een paper gepubliceerd waarin wordt beschreven hoe het project tot stand kwam. Ze hopen dat het als model dient voor het stroomlijnen van andere aspecten van de internetinfrastructuur waar we allemaal dagelijks op vertrouwen.

Wat is precies een HTTPS-certificaatautoriteit?

Halderman:HTTPS is het protocol dat webbrowsers gebruiken om via een versleutelde verbinding met webservers te praten. Het biedt vertrouwelijkheid door te voorkomen dat afluisteraars de gegevens begrijpen. Het biedt integriteit door te voorkomen dat kwaadwillende netwerken de gegevens wijzigen. En het biedt authenticatie door ervoor te zorgen dat u praat met de server die wordt weergegeven in de adresbalk van de browser in plaats van een bedrieger. Dat laatste onderdeel is essentieel. Als HTTPS geen verificatie had, een aanvaller kan de verbinding omleiden naar een server die hij beheert en de gegevens lezen of wijzigen.

Authenticatie is ook het lastige deel, en dat is waar certificeringsinstanties binnenkomen. Het is een kleine groep organisaties die webbrowsers vertrouwen om in te staan ​​voor de identiteit van servers. Om HTTPS te implementeren, een website moet eerst aan een certificeringsinstantie bewijzen dat het echt de server op een bepaald internetdomein is. Vervolgens geeft de certificeringsinstantie de site een digitaal ondertekend certificaat, die werkt als een rijbewijs om browsers zijn identiteit te laten bevestigen.

Waarom is codering belangrijk op websites die geen gevoelige informatie verwerken?

Halderman:Toen HTTPS in de jaren negentig werd uitgevonden, het was vooral bedoeld voor creditcardtransacties en internetbankieren. Maar sindsdien, het internet is een veel gevaarlijkere plek geworden. Edward Snowden liet ons zien dat regeringen het verkeer op wereldschaal in de gaten hielden. We hebben ook gevallen gezien waarin overheden en anderen het internetverkeer hebben gewijzigd om de computer van de gebruiker aan te vallen, of om hun computer te gebruiken om derden aan te vallen.

Dus vandaag, encryptie is niet alleen belangrijk voor financiële transacties, maar voor alle online communicatie. Daarom is het belangrijk om het toegankelijk te maken voor elke website-operator, en Let's Encrypt doet precies dat. Het is bijzonder goed geweest in het stimuleren van HTTPS-acceptatie op kleinere websites die niet over de middelen beschikken om via het traditionele proces een certificaat te verkrijgen.

Waarom is HTTPS zo moeilijk te implementeren?

Halderman:Traditioneel, het implementeren van HTTPS vereist dat website-exploitanten een certificeringsinstantie kiezen, hun identiteit aan hen bewijzen, maar liefst een paar honderd dollar betalen voor een certificaat, wacht tot het komt, volg dan een ingewikkelde reeks stappen om het te installeren. Je moet het proces elk jaar of twee herhalen, en als je het niet op tijd doet, uw website kan uitvallen. Dus veel websites, vooral kleinere, hebben hun sites gewoon onversleuteld achtergelaten.

Let's Encrypt is een ander soort certificeringsinstantie die gratis certificaten levert via een geautomatiseerd proces dat vaak maar één klik kost, en soms is het een automatisch onderdeel van het instellen van de website. Dat heeft geleid tot een enorme toename van het aantal beveiligde sites.

Hoe kan Let's Encrypt gratis certificaten verstrekken?

Halderman:Ten eerste, Let's Encrypt is een non-profitorganisatie en wordt grotendeels gefinancierd door donaties van grote technologiebedrijven. Dat is anders dan de meeste certificeringsinstanties. Ten tweede, en misschien contra-intuïtief, door certificaten gratis te maken, worden de kosten voor het uitgeven ervan drastisch verlaagd. Betaling is een grote bron van wrijving waardoor het proces veel moeilijker te automatiseren is.

Dus als je die wrijving eenmaal hebt weggenomen, certificaten worden veel eenvoudiger uit te geven. Toen we het proces vereenvoudigden, we waren in staat om het te automatiseren door een softwaresysteem te bouwen dat het ACME-protocol wordt genoemd. ACME verlaagt de kosten van elk certificaat Let's Encrypt-problemen tot een fractie van een cent.

Waarom komt het eerste artikel van uw team over Let's Encrypt vier jaar na de lancering uit?

Halderman:Omdat het een gek idee was om een ​​nieuw soort certificeringsinstantie te creëren die gratis certificaten uitgeeft. Als we het papier hadden geschreven voordat we het maakten, het zou niet gepubliceerd zijn. We moesten bewijzen dat de economie zou werken, en er was geen manier om dat te doen, behalve om het gewoon te bouwen.

Vier jaar later, Let's Encrypt is enorm succesvol geweest. En ik hoop dat dit papier, die terugkijkt op hoe we het hebben gebouwd en de impact ervan op het web meet, kan helpen bij het verspreiden van enkele van de lessen die we hebben geleerd om andere delen van de internetinfrastructuur beter te laten werken.

Wat zijn enkele van die lessen en hoe kunnen ze helpen op andere gebieden?

Halderman:Een van de redenen waarom Let's Encrypt werkt, is dat het een neutrale partij is die in het algemeen belang opereert in plaats van een product van een groot technologiebedrijf. Dat maakt het iets waar iedereen op kan vertrouwen en waar geen enkel bedrijf een doorslaggevend belang bij heeft.

Er zijn andere plekken waar authenticatie en samenwerking nodig zijn. Bijvoorbeeld, ISP's werken vaak samen aan routeringsprotocollen die informatie over het internet sturen. Maar dat proces zelf is niet versleuteld en is onderhevig aan aanvallen. Dat is een plek waar een model vergelijkbaar met Let's Encrypt goed zou kunnen werken.

Je zei dat Let's Encrypt in 2013 een gek idee was. Vandaag, het lijkt niet zo gek. Hoe kom je van "gek idee" naar "waarom heb ik daar niet aan gedacht?"

Halderman:Door verder te kijken dan de gebruikelijke academische maatstaven voor succes, zoals het aantal papers of commerciële startups. Dat kunnen we in Michigan doen, omdat impact in de echte wereld in het DNA van het College of Engineering zit. En om eerlijk te zijn, Ik denk niet dat er veel andere universiteiten zijn waar dit had kunnen gebeuren.

Toen we aan dit project begonnen, we wisten dat het niet snel een traditioneel academisch artikel zou worden. Maar de mensen hier zagen dat het waarschijnlijk waardevol zou zijn voor de wereld, en ze steunden het werk - iedereen van de collega's die me aanstelden voor de thesiscommissie voor de Ph.D. student die hielp bij het ontwerpen van ACME. Die steun stelde ons in staat om het project tot een succes te maken.

De krant, Let's Encrypt:een geautomatiseerde certificeringsinstantie om het hele web te versleutelen, wordt op 14 november gepresenteerd op de ACM Conference on Computer and Communications Security in Londen.