所有人使用HTTPS：让我们的加密货币达到已发布的十亿个证书

互联网安全研究小组的免费证书签署机构Let’s Encrypt大约在四年前发布了其第一份证书。今天，它发行了十亿分之一。

ISRG的“让我们加密货币”的目标是使Web的加密货币率达到100％。当2015年Let’s Encrypt推出时，这个想法就太过分了-当时，三分之一以上的所有Web流量都是经过加密的，其余为纯文本HTTP。采用HTTPS的过程存在很多障碍-一方面，它要花钱。但更重要的是，这花费了大量的时间和人力，而这两者的供应都有限。

让我们通过免费提供服务来解决资金障碍。更重要的是，通过建立访问协议的稳定协议，它使Electronic Frontier基金能够构建并提供Certbot，这是一种开放源代码，免费使用的工具，可自动执行证书获取，安装，配置网络服务器以使用证书的过程，并自动更新它们。

传统方式管理HTTPS

当2015年Let’s Encrypt推出时，域验证证书的价格可能仅为每年9美元-但是维护它们所需的时间和精力却是另一回事。需要购买证书，需要以多种形式填写信息，然后可能要花费数小时才能发布廉价的域验证证书。

颁发证书后，需要下载证书（及其密钥和任何必要的链式证书），然后将其移至服务器，然后放置在正确的目录中，最后可以为SSL重新配置Web服务器。

在广泛使用的Apache Web服务器上，配置的SSL部分（单独）可能看起来像这样：

启用S​​SLEngine
     SSLCertificateFile /etc/apache2/certs/sitename.crt
     SSLCertificateChainFile /etc/apache2/certs/sitename.ca-bundle
     SSLCertificateKeyFile /etc/apache2/certs/sitename.key
     SSLCACertificatePath / etc / ssl / certs /

     ＃中间配置，根据您的需要进行调整
     SSL协议全部-SSLv3
     SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256：ECDHE-ECDSA-AES128-GCM-SHA256：ECDHE-RSA-AES256-GCM-SHA384：ECDHE-ECDSA-AES256-GCM-SHA384：DHE-RSA-AES128-GCM-SHA256 ：DHE-DSS-AES128-GCM-SHA256：kEDH + AESGCM：ECDHE-RSA-AES128-SHA256：ECDHE-ECDSA-AES128-SHA256：ECDHE-RSA-AES128-SHA：ECDHE-ECDSA-AES128-SHA：ECDHE-RSA -AES256-SHA384：ECDHE-ECDSA-AES256-SHA384：ECDHE-RSA-AES256-SHA：ECDHE-ECDSA-AES256-SHA：DHE-RSA-AES128-SHA256：DHE-RSA-AES128-SHA：DHE-DSS-AES128 -SHA256：DHE-RSA-AES256-SHA256：DHE-DSS-AES256-SHA：DHE-RSA-AES256-SHA：AES128-GCM-SHA256：AES256-GCM-SHA384：AES128-SHA256：AES256-SHA256：AES128-SHA ：AES256-SHA：AES：CAMELLIA：DES-CBC3-SHA：aNULL：eNULL：EXPORT：DES：RC4：MD5：PSK：aECDH：EDH-DSS-DES-CBC3-SHA： EDH-RSA-DES-CBC3-SHA：KRB5-DES-CBC3-SHA
     SSLHonorCipherOrder在
     SSL压缩关闭

     ＃OCSP装订，仅在httpd 2.3.3和更高版本中
     #SSLUseStapling开启
     #SSLStaplingResponderTimeout 5
     #SSLStaplingReturnResponderErrors off

     ＃HSTS（需要mod_headers）（15768000秒= 6个月）
     标头始终将严格传输安全性设置为“最大年龄= 15768000”

没有为您完成此配置。在现实世界中，通过第一个声称提供工作配置集的站点的剪切和粘贴操作，完成了数量惊人的货物配置。

如果经验不足的管理员在寻找要复制和粘贴的东西时猜错了—或者经验丰富的管理员草率而又没有注意到标准何时更改—协议错误和密码参数形式的不安全性也很容易蔓延。

每隔一到三年，您将需要重新做一遍整个工作-可能仅替换证书和密钥，也许还替换或添加新的中间链证书。

坦白说，整个事情都是一团糟……并且很容易导致
停机时间
 如果不常用的程序运行不顺利。

使用Let’s Encrypt和Certbot管理HTTPS

在降低成本和建立稳定，可靠的协议方面，Let’s Encrypt还消除了自动化的重大障碍。 EFF介入使用Certbot向最终用户和管理员提供自动化，这是管理获取，安装和更新Let’s Encrypt证书的最流行的方法之一。

在Ubuntu 18.04或更高版本的系统上，EFF的Certbot及其各种插件在主系统存储库中可用。可以使用两个shell命令来安装它-一个，如果您愿意稍加捏造并使用分号：

root @ web：〜＃apt更新;易于安装-y python3-certbot-apache

完成后，只需一个命令即可激活Certbot。当您与简单的纯文本菜单系统进行交互时，它将为您的任何或所有站点获取证书，为您配置Web服务器（正确），并添加cron作业以在证书到期时自动更新证书到期前30天。整个过程花了不到五分钟。

作为补充，Certbot甚至提供（但不要求）自动配置Web服务器以为您将HTTP请求重定向到HTTPS。就这么简单。

大规模提供隐私和安全性

2017年6月，Let’s Encrypt成立两年了，并获得了第100万份证书。 Web从HTTPS的40％减少到美国的HTTPS的64％，而我们加密货币为4600万个网站提供服务。

如今，Let’s Encrypt的第十亿份证书已经发行，它为1.92亿个网站提供服务，而美国的Internet加密货币部分已高达91％。该项目使用与2017年几乎相同的人员和预算来管理该项目，从11名全职员工和261万美元的预算，发展到如今的13名全职员工和335万美元的预算。

没有对自动化和开放标准的承诺，这一切都是不可能的。我们对EFF的Certbot使其易于部署和更新Let’s Encrypt证书感到困惑，但是这种贡献之所以只有可能是因为Let’s Encrypt致力于标准化开放的ACME协议，任何人都可以构建一个客户端来操作。

除了构建和发布稳定，功能强大的协议外，Let’s Encrypt还进行了工作，以与Internet工程任务组（IETF）提交并批准该协议，从而产生了RFC 8555。

结论

确实没有太多的借口不提供从网站到用户的安全，端到端的加密货币（和身份验证）通信。让我们加密货币，它的ACME协议以及为方便其使用而涌现的众多客户（包括但不限于Certbot）使HTTPS配置和部署变得简单。