Andelen webbplatser som skyddas med säker HTTPS-kryptering – indikerad av låsikonen i adressfältet i de flesta webbläsare – har hoppat från drygt 40 % 2016 till 80 % idag.

Det beror till stor del på ansträngningarna från Let's Encrypt, en ideell certifikatmyndighet som grundades 2013 av J. Alex Halderman, en professor i datavetenskap och teknik vid University of Michigan.

Genom att erbjuda en gratis tjänst, Let's Encrypt har förvandlat implementeringen av HTTPS från en kostsam, komplicerad process till ett enkelt steg som är inom räckhåll för alla webbplatser. Certifikatmyndigheten är nu världens största, tillhandahåller fler HTTPS-certifikat än alla andra certifikatutfärdare tillsammans.

Halderman och hans medarbetare på Let's Encrypt—the Electronic Frontier Foundation, Mozilla, Cisco och Stanford University – har publicerat en artikel som beskriver hur projektet kom till stånd. De hoppas att det fungerar som en modell för att effektivisera andra aspekter av internetinfrastrukturen som vi alla litar på varje dag.

Vad exakt är en HTTPS-certifikatutfärdare?

Halderman:HTTPS är protokollet som webbläsare använder för att prata med webbservrar över en krypterad anslutning. Det ger konfidentialitet genom att förhindra avlyssnare från att förstå informationen. Det ger integritet genom att förhindra skadliga nätverk från att ändra data. Och det ger autentisering genom att se till att du pratar med servern som visas i webbläsarens adressfält snarare än en bedragare. Den sista delen är viktig. Om HTTPS inte hade autentisering, en angripare kan omdirigera anslutningen till en server som de kontrollerade och läsa eller ändra data.

Autentisering är också den knepiga delen, och det är där certifikatutfärdare kommer in. De är en liten grupp organisationer som webbläsare litar på för att garantera servrarnas identitet. För att implementera HTTPS, en webbplats måste först bevisa för en certifikatutfärdare att den verkligen är servern på en viss internetdomän. Sedan utfärdar certifikatutfärdaren ett digitalt signerat certifikat till webbplatsen, som fungerar som ett körkort för att låta webbläsare bekräfta sin identitet.

Varför är kryptering viktigt på webbplatser som inte hanterar känslig information?

Halderman:När HTTPS uppfanns på 1990-talet, det var mest avsett för kreditkortstransaktioner och internetbanker. Men sedan dess, Internet har blivit en mycket farligare plats. Edward Snowden visade oss att regeringar övervakade trafiken på global nivå. Vi har också sett fall där regeringar och andra har ändrat internettrafik för att attackera användarens dator, eller att använda sin dator för att attackera tredje part.

Så idag, kryptering är viktigt inte bara för finansiella transaktioner utan för all onlinekommunikation. Det är därför det är viktigt att göra den tillgänglig för alla webbplatsoperatörer, och Let's Encrypt gör just det. Det har varit särskilt bra på att driva HTTPS-antagande på mindre webbplatser som inte har resurser för att få ett certifikat genom den traditionella processen.

Varför har HTTPS varit så svårt att implementera?

Halderman:Traditionellt, implementering av HTTPS har krävt webbplatsoperatörer att välja en certifikatutfärdare, bevisa sin identitet för dem, betala så mycket som några hundra dollar för ett certifikat, vänta på att den ska komma, följ sedan en komplicerad serie steg för att installera den. Du måste upprepa processen varje eller två år, och om du inte gör det i tid, din webbplats kan gå ner. Så många webbplatser, särskilt mindre, lämnade bara sina webbplatser okrypterade.

Let's Encrypt är en annan typ av certifikatutfärdare som tillhandahåller gratis certifikat genom en automatiserad process som ofta bara tar ett klick, och ibland är det en automatisk del av webbplatsinställningen. Det har lett till en enorm ökning av antalet säkrade webbplatser.

Hur kan Let's Encrypt tillhandahålla certifikat gratis?

Halderman:Först, Let's Encrypt är ideell och finansieras mestadels av donationer från stora teknikföretag. Det skiljer sig från de flesta certifikatutfärdare. För det andra, och kanske kontraintuitivt, Att göra certifikat gratis minskar dramatiskt kostnaden för att utfärda dem. Betalning är en stor källa till friktion som gör processen mycket svårare att automatisera.

Så när du tar bort den friktionen, certifikat blir mycket enklare att utfärda. När vi förenklade processen, vi kunde automatisera det genom att bygga ett mjukvarusystem som kallas ACME-protokollet. ACME sänker kostnaden för varje certifikat Let's Encrypt utfärdar till en bråkdel av en cent.

Varför kommer ditt teams första artikel om Let's Encrypt ut fyra år efter lanseringen?

Halderman:För att skapa en ny sorts certifikatutfärdare som ger ut gratiscertifikat var en galen idé. Om vi ​​hade skrivit tidningen innan vi byggde den, det skulle inte ha blivit publicerat. Vi var tvungna att bevisa att ekonomin skulle fungera, och det fanns inget sätt att göra det förutom att bara bygga det.

Fyra år senare, Let's Encrypt har varit mycket framgångsrik. Och jag hoppas att denna tidning, som ser tillbaka på hur vi byggde det och mäter dess inverkan på webben, kan hjälpa till att sprida några av de lärdomar vi har lärt oss för att hjälpa andra delar av internetinfrastrukturen att fungera bättre.

Vilka är några av dessa lärdomar och hur kan de hjälpa till på andra områden?

Halderman:En del av det som gör att Let's Encrypt fungerar är att det är en neutral part som verkar i allmänhetens intresse snarare än en produkt från något stort teknikföretag. Det gör det till något som alla kan lita på och som inget företag har en övergripande andel i.

Det finns andra platser där autentisering och samarbete är nödvändigt. Till exempel, Internetleverantörer arbetar ofta tillsammans med routingprotokoll som leder information runt internet. Men den processen i sig är inte krypterad och är föremål för attack. Det är en plats där en modell som liknar Let's Encrypt skulle kunna fungera bra.

Du nämnde att Let's Encrypt var en galen idé 2013. Idag, det verkar inte så tokigt. Hur kommer man från "galen idé" till "varför tänkte jag inte på det?"

Halderman:Genom att se bortom de vanliga akademiska måtten på framgång som antal tidningar eller kommersiella startups. Vi kan göra det i Michigan eftersom verklig påverkan finns i College of Engineerings DNA. Och för att vara ärlig, Jag tror inte att det finns många andra universitet där detta kunde ha hänt.

När vi startade detta projekt, vi visste att det inte skulle bli en traditionell akademisk uppsats snart. Men folk här såg att det sannolikt skulle vara värdefullt för världen, och de stödde arbetet – alla från de kollegor som anställde mig i avhandlingskommittén för doktorsexamen. student som hjälpte till att designa ACME. Det stödet var det som gjorde att vi kunde driva projektet hela vägen till framgång.

Pappret, Let's Encrypt:En automatiserad certifikatutfärdare för att kryptera hela webben, kommer att presenteras 14 november på ACM Conference on Computer and Communications Security i London.