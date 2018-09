A Let's Encrypt ingyenes tanúsítványkibocsátó már megjelenése óta elképesztő tempót diktál, mindössze néhány hónap alatt a szegmens legnépszerűbb szereplőjévé nőtte ki magát. A kezdeményezés most újabb mérföldkőhöz érkezett, ahogy a TechCrunch beszámolt róla, a nonprofit szervezet mára több mint 380 millió tanúsítványt adott ki, 129 millió egyedi doménre. A megoldás hatalmas lökést adott a HTTPS terjedésének, a Firefox adatai szerint a Let's Encrypt 2015-ös rajtjakor még csak a böngészőn keresztül megjelenített oldalak 38 százaléka támaszkodott HTTPS kapcsolatra, mára ez azonban nem kevesebb mint 75 százalékra hízott.

A Firefox által HTTPS-en keresztül betöltött weboldalak aránya

Az ISRG (Internet Security Research Group) közhasznú szervezet zászlaja alatt működő Let's Encrypt ingyenesen kínál nyílt, automatizált tanúsítványkibocsátói szolgáltatást. A projekt mögé rengeteg nagy cég beállt, a fő szponzorok között a Mozilla, a Google Chrome csapata, a Facebook, a Cisco, az EFF és a Shopify is ott van. A megoldás komoly előnye, hogy az automatizált működésnek hála leveszi a cégek válláról a sokszor nehézkes validációs, aláírási és telepítési feladatokat, valamint a tanúsítványok megújítását is saját hatáskörben végzi. Korábban a nehézkes és drága procedúra sok oldalt riasztott el a HTTPS bevezetésétől, a Let's Encrypt kezdeményezés azonban hatalmas sikernek bizonyult.

A biztonságos HTTPS URI séma bevezetése a lehető legszélesebb körben azért kritikus, mert a mezei HTTP protokoll nem tartalmaz titkosítást, egyszerű szöveg, amelyet bármilyen közbeeső fél, mint a hálózati szolgáltatók, vagy épp támadók, elolvashat és módosíthat. Emiatt a statikus, adatot nem kérő oldalak is veszélyessé válhatnak, például az otthoni router megfertőzésével a weboldalakba ágyazható rosszindulatú kód, amely akár fertőzött szoftver (ártatlannak látszó Flash) letöltésére is ráveheti a felhasználót - de hasonló módszerrel akár a manapság népszerű kriptobányász megoldások is megfertőzhetik az adott eszközt. A HTTPS ezt a támadási vektort kiszűri, az oldal és a felhasználó böngészője között biztonságossá teszi a kommunikációt. Ez persze nem jelenti azt, hogy a két végpont (a szerver vagy a kliens) megfertőzésével ne lehetne továbbra is támadást indítani, de a lépés ennek ellenére sokkal biztonságosabbá teszi a böngészést.

A napi szinten kibocsátott tanúsítványok száma

Ennek a kritikus védelmi vonalnak a kiépítését pörgette fel a Let's Encrypt az elmúlt években: a szolgáltatás tavaly júniusban érte el a 100 millió kiadott tanúsítvány mérföldkövét - az elmúlt bő egy évben pedig ennek több mint két és félszeresét produkálta. Ezzel együtt a kibocsátó által napi szinten kiadott tanúsítványok száma is szépen növekszik, az az idei év első negyedében 500-600 ezer között mozgott. A Scott Helme biztonsági szakértő által is szemlézett augusztus végi számok is megerősítik a HTTPS gyors térnyerését: a jelentés szerint most először használja a biztonságos technológiát az Alexa Top 1 millió weboldal több mint fele. Mindez különösen annak fényében látványos, hogy ez az érték idén februárban még csak 38,4 százalék volt, ezt két évvel megelőzően pedig mindössze 9,39 százalék. Az előrelépés jelentős része pedig a Let's Encryptnek köszönhető, amelynek hála az internet jó úton jár a teljes titkosítás felé.