Let's Encrypt ประกาศพบบั๊กในระบบออกใบรับรอง ทำให้มีการออกใบรับรองโดยตรงสอบไม่ครบถ้วน และจำเป็นต้องยกเลิก (revoke) ใบรับรองที่ตรวจสอบไม่ครบนี้ออกจากระบบ รวมใบรับรองที่กระทบ 3,048,289 ใบ จากใบรับรองที่ยังใช้งานได้ตอนนี้ 116 ล้านใบ หรือคิดเป็น 2.6%

Let's Encrypt โครงการแจกใบรับรองเข้ารหัสฟรีประกาศออกใบรับรองครบ 1 พันล้านใบ รวมประมาณ 192 ล้านเว็บไซต์

Let's Encrypt เปิดแจกใบรับรองจริงครั้งแรกเมื่อเดือนธันวาคมปี 2015 ผ่านมาสี่ปี ตอนนี้โครงการมีพนักงานประจำ 11 คน และใช้งบประมาณปีละ 2.61 ล้านดอลลาร์สหรัฐฯ หรือประมาณ 82 ล้านบาท โดยเพิ่มพนักงานเพียงสองคนในช่วงเวลาสองปีที่ผ่านมา

ผลของการมี Let's Encrypt ทำให้การเข้าชมเว็บไซต์ 81% เป็นการเชื่อมต่อแบบเข้ารหัส เพิ่มขึ้นอย่างรวดเร็วจากสองปีก่อนที่อยู่ที่ 58% เท่านั้น

ใบรับรอง Let's Encrypt ใช้งานได้ในไคลเอนต์หลักๆ แทบทั้งหมดมาหลายปี แต่ที่จริงแล้วใบรับรองที่ได้รับการเชื่อถือจากฐานข้อมูลทั้งหลายเริ่มต้นจากใบรับรอง root CA ของ IdenTrust เป็นหลัก (ออราเคิลรองรับ IdenTrust DST Root CA X3 เมื่อปี 2016) ตอนนี้ใบรับรองของ Let's Encrypt เองคือ ISRG Root X1 นั้นถูกรวมเข้าฐานข้อมูลหลักทั้งหมดแล้ว

ตอนนี้ฐานข้อมูลใบรับรองหลัก ที่รับรอง Let's Encrypt ได้แก่ ไมโครซอฟท์, กูเกิล, มอซิลล่า, ออราเคิล, และแบล็คเบอรี่

กูเกิลเตรียมบังคับใบรับรองเข้ารหัสเว็บทุกใบต้องผ่านการบันทึกบนเซิร์ฟเวอร์ Certification Transparency (CT) ภายในเดือนเมษายนนี้ ตอนนี้ผู้ออกใบรับรองรายใหญ่อย่าง Let's Encrypt ก็ออกมาประกาศเพิ่มข้อมูลยืนยันการบันทึกลงล็อก (Signed Certificate Timestamps - SCT) ลงในใบรับรองโดยตรง เพื่อให้ใบรับรองใช้งานได้ต่อไปโดยผู้ดูแลระบบไม่ต้องทำอะไรเพิ่มอีก

Let's Encrypt ประกาศออกใบรับรองแบบ Wildcard มาตั้งแต่กลางปีที่แล้ว และถูกเลื่อนมาหลายครั้ง วันนี้ก็ประกาศออกใบรับรองเป็นทางการแล้ว

การขอใบรับรอง Wildcard ต้องใช้โปรโตคอล ACMEv2 ผ่านทาง https://acme-v02.api.letsencrypt.org/directory และยืนยันความเป็นเจ้าของโดเมนด้วยกระบวนการ DNS-01 เท่านั้น โดยผู้ขอใบรับรองสามารถขอโดยระบุ newOrder เป็นแบบ Wildcard ได้ เช่น *.blognone.com

สำหรับผู้ใช้ certbot ต้องใช้เวอร์ชั่น 0.22.0 ขึ้นไป

โครงการ Let's Encrypt ได้รับรายงานว่าบริการเว็บโฮสติ้งรายใหญ่บางรายมีช่องโหว่ทำให้แฮกเกอร์สามารถขอใบรับรองรับปลอมจากเว็บอื่นๆ ที่อยู่บนไอพีเดียวกันได้ ทำให้โครงการตัดสินใจปิดการยืนยันตัวตนเว็บแบบ TLS-SNI-01 ออกไป

TLS-SNI-01 ยืนยันความเป็นเจ้าของโดเมนด้วยการแจ้งชื่อโดเมนที่ไม่มีจริง เช่น 773c7d.13445a.acme.invalid จากนั้นเซิร์ฟเวอร์ของ Let's Encrypt จะเชื่อมต่อเข้าไปยังไอพีโดยแจ้งโดเมนเป็นโดเมนที่ได้รับแจ้งมา หากใบรับรองที่ได้รับระบุโดเมนถูกต้องก็จะถือว่าผู้ขอใบรับรองเป็นเจ้าของโดเมนจริง

Let's Encrypt โครงการออกใบรับรองฟรีประกาศตั้งแต่ปีที่แล้วว่าจะออกใบรับรอง Wildcard ในเดือนมกราคมนี้ แต่ข่าวร้ายตอนนี้คือกำหนดการต้องเลื่อนออกไปเป็นวันที่ 27 กุมภาพันธ์

ตอนนี้ทางโครงการเปิดตัวเซิร์ฟเวอร์ทดสอบแบบสาธารณะที่รองรับ ACMEv2 และสามารถออกใบรับรอง Wildcard เรียบร้อยแล้ว หากบริการเว็บใดต้องการใช้ใบรับรองแบบ Wildcard ก็จะมีเวลาทดสอบประมาณเดือนครึ่งก่อนที่เซิร์ฟเวอร์จริงจะเปิดตัว

Let's Encrypt ประกาศว่าโมดูล mod_md สำหรับ Apache HTTP Server (httpd) ใกล้เสร็จสมบูรณ์ ทำให้เวอร์ชั่นต่อไปเราน่าจะได้ใช้งาน Let's Encrypt โดยคอนฟิกสั้นลงกว่าการใช้ใบรับรองจากที่อื่นเสียอีก

mod_md ต้องการคอนฟิก ManagedDomain เพื่อบอกว่าจะให้ขอใบรับรองสำหรับโดเมนใดบ้าง และเมื่อคอนฟิกแล้วจะไม่ต้องคอนฟิกตำแหน่งใบรับรอง SSLCertificateFile และ SSLCertificateKeyFile เช่นเดิมอีก โดยตัวโมดูลจะขอใบรับรองใหม่เมื่อใบรับรองเดิมใกล้หมดอายุโดยอัตโนมัติ

Let's Encrypt ประกาศตั้งแต่กลางปีที่ผ่านมาว่าจะรองรับใบรับรองแบบ wildcard (สามารถใช้กับทุก subdomain ได้ด้วยใบรับรองเดียว) แต่ไม่ได้ประกาศช่วงเวลาชัดเจน ตอนนี้ทางโครงการก็ออกมาประกาศแล้วว่าจะเริ่่มออกใบรับรอง wildcard ตั้งแต่เดือนมกราคม 2018

การขอใบรับรองแบบ wildcard ในช่วงแรกจะต้องทำ validation ด้วย DNS เท่านั้น และต้องเชื่อมต่อขอใบรับรองด้วย ACMEv2 เท่านั้น แต่กระบวนการขอใบรับรองอาจจะเพิ่มเติมได้ในอนาคต

ตอนนี้ Let's Encrypt ออกใบรับรองไปแล้วถึง 47 ล้านโดเมน

ตั้งแต่ Let's Encrypt ออกใบรับรองฟรีให้กับเว็บทั่วโลก ความลำบากก็ตกอยู่กับผู้ให้บริการใบรับรองแบบเสียเงินที่เคยคิดค่าบริการรายปีสำหรับการออกใบรับรอง แต่ผู้ให้บริการเหล่านั้นก็ยังมีสินค้าสำคัญ คือการออกใบรับรองแบบใช้กับ subdomain ได้ทั้งหมด หรือเรียกว่าใบรับรอง wildcard (เช่น *.blognone.com)

บริการที่ใช้ใบรับรอง wildcard เช่นนี้ เช่น บริการโฮสต์หรือบริการเว็บบล็อก เช่น WordPress ที่ลูกค้ามักได้โดเมนเป็นของตัวเองทุกราย

โครงการ Let's Encrypt ประกาศปล่อยใบรับรองครบ 100 ล้านใบ หลังจากเริ่มปล่อยใบรับรองเป็นการทั่วไปตั้งแต่วันที่ 3 ธันวาคม 2015 โดยเดือนแรกปล่อยใบรับรองไปประมาณสองแสนใบ

Let's Encrypt เปิดให้บริการใบรับรองฟรีจนกระทั่งมีเว็บจำนวนมากอัพเกรดขึ้นมา แต่การขอใบรับรองผ่านโปรโตคอล ACME ก็อาจจะยุ่งยากสำหรับนักพัฒนาเว็บจำนวนหนึ่ง กลายเป็นอุปสรรคสำหรับการใช้งาน ที่ผ่านมาการใช้งานที่สะดวกที่สุดคือบริการโฮสต์รองรับ Let's Encrypt ให้เองทำให้นักพัฒนาไม่ต้องทำอะไร แต่ตอนนี้ผู้ให้บริการ DNS อย่าง DNSimple ก็ประกาศเพิ่มทางอำนวยความสะดวกอีกทาง

ใบรับรองที่ออกโดย Let's Encrypt ถูก cross-sign โดย IdenTrust แม้ว่าเบราว์เซอร์จะรองรับแทบทั้งหมด แต่ไลบรารีบางส่วนก็ยังอัพเดตไม่ทัน ล่าสุดฝั่งจาวาก็อัพเดต 8u101 รองรับ IdenTrust แล้ว ทำให้การเชื่อมต่อ HTTPS ไปยังเซิร์ฟเวอร์ที่ใช้งาน Let's Encrypt รองรับโดยสมบูรณ์

ออราเคิลเพิ่มใบรับรองของ IdenTrust เข้าในฐานข้อมูลหลายตัว แต่ตัวที่ใช้ cross-sign กับ Let's Encrypt คือ IdenTrust DST Root CA X3

ที่มา - Oracle

โครงการ Let's Encrypt แจกใบรับรองดิจิตอลฟรีสร้างผลกระทบให้กับวงการธุรกิจออกใบรับรองเป็นวงกว้าง ตอนนี้ "กลุ่มผู้เสียผลประโยชน์" อย่าง Comodo ก็ยื่นจดทะเบียนเครื่องหมายการค้า Let's Encrypt สามรายการ ได้แก่ "Let's Encrypt", "Let's Encrypt with Comodo", และ "Comodo Let's Encrypt" อย่างไรก็ตาม ท่าทีล่าสุดของ Comodo มีแนวโน้มว่าจะปล่อยการยื่นจดทะเบียนนี้ให้หมดอายุไปในที่สุด

โครงการออกใบรับรองฟรี Let's Encrypt เพิ่งเปิดบริการมาเพียงครึ่งปี ตอนนี้ก็มีรายงานความคืบหน้าออกมาหลายรอบ ล่าสุดโครงการออกใบรับรองไปแล้วกว่า 5 ล้านใบ ตอนนี้ยังคงใช้งานได้อยู่ (ยังไม่หมดอายุหรือยกเลิกไปก่อน) จำนวน 3.8 ล้านใบ รวมครอบคลุมกว่า 7 ล้านโดเมน

Let's Encrypt ประกาศผลดำเนินงานจนถึงวันที่ 1 เมษายนที่ผ่านมาว่าออกใบรับรองไปแล้วกว่า 1.7 ล้านใบ รวม 3.8 ล้านโดเมน จนตอนนี้มั่นใจว่าระบบทำงานได้เป็นอย่างดีจนพร้อมจะปลดป้ายเบต้าแล้ว

ในแง่เงินทุนแล้ว Let's Encrypt ได้รับสปอนเซอร์เพิ่ม โดย ซิสโก้และ Akamai ต่อสปอนเซอร์แบบ Platinum พร้อมสัญญาว่าจะต่อแบบนี้อย่างนี้สามปี (สามแสนดอลลาร์ต่อปี) Gemalto ผู้ผลิตอุปกรณ์ความปลอดภัยเข้ามาสนับสนุนระดับ Gold (150,000 ดอลลาร์ต่อปี) นอกจากนั้น HP Enterprise, Fastly, Duda, และ ReliableSite.net เข้ามาสนับสนุนระดับ Silver (10,000-50,000 ดอลลาร์ต่อปี ขึ้นกับขนาดบริษัท)