image

Let's Encrypt kan 200 miljoen certificaten binnen 24 uur vervangen

woensdag 10 februari 2021, 16:20 door Redactie, 6 reacties

Certificaatautoriteit Let's Encrypt geeft op een doorsnee dag zo'n twee miljoen gratis tls-certificaten uit die websites gebruiken voor het opzetten van een beveiligde verbinding en identificatie. De organisatie is dankzij recent uitgevoerde werkzaamheden in staat om 200 miljoen certificaten op één dag uit te kunnen geven mocht dit noodzakelijk zijn geworden.

Meer dan 240 miljoen domeinen maken gebruik van een door Let's Encrypt uitgegeven certificaat. Vorig jaar maart was de certificaatautoriteit van plan om zo'n drie miljoen actieve certificaten wegens een softwarebug. die zich bij de uitgifte voordeed, te vervangen. Het ging om zo'n 2,6 procent van alle certificaten van dat moment. "Wat als de bug gevolgen had gehad voor al onze certificaten?", stelt ISRG-directeur Josh Aas de vraag. De Internet Security Research Group (ISRG) is de organisatie achter Let's Encrypt.

In dit geval zouden meer dan 150 miljoen certificaten voor meer dan 240 miljoen domeinen moeten worden vervangen. Om daar technisch klaar voor te zijn besloot Let's Encrypt onlangs verschillende aanpassingen en upgrades door te voeren. Zo is er een nieuwe databaseserver neergezet die over dual AMD EPYC 7542-processors beschikt, uitgerust met 64 fysieke cores en twee terabyte aan werkgeheugen.

De vorige server was een dual Intel Xeon E5-2650 met 24 fysieke cores en één terabyte geheugen. Volgens Aas een prima machine, maar niet in staat om alle certificaten binnen een dag te vervangen. Naast de databaseserver kregen ook het interne netwerk, de beschikbare bandbreedte en de hardware security modules voor het signeren van certificaten een upgrade, aldus Aas in een beschrijving van de uitgevoerde werkzaamheden.

Reacties (6)
11-02-2021, 17:03 door Anoniem
Fantastisch werk wat deze club doet. Maar zijn er ook alternatieven voor deze dienstverlener inmiddels? Let's Encrypt begint langzamerhand wel een gigantisch single point of failure te worden...
11-02-2021, 18:13 door Anoniem
Door Anoniem:zijn er ook alternatieven voor deze dienstverlener inmiddels?
Online zoeken levert https://zerossl.com/ op als alternatief (gratis, ACME compatible).
11-02-2021, 19:42 door Anoniem
Dat is 2,3 per seconde, lijkt me niet zo bijzonder.

Ik zoek nog funding voor een gratis certificate organisatie. Ik had praktisch de europese subsidie binnen, maar kon de eigen bijdrage niet realiseren.
11-02-2021, 23:09 door Anoniem
Door Anoniem: Dat is 2,3 per seconde, lijkt me niet zo bijzonder.

Ik zoek nog funding voor een gratis certificate organisatie. Ik had praktisch de Europese subsidie binnen, maar kon de eigen bijdrage niet realiseren.
Volgens mij maak je een kommafout. 200M/86400=ruim 2300 certificaten per seconde.
12-02-2021, 17:08 door Anoniem
Door Anoniem:
Door Anoniem: Dat is 2,3 per seconde, lijkt me niet zo bijzonder.

Ik zoek nog funding voor een gratis certificate organisatie. Ik had praktisch de Europese subsidie binnen, maar kon de eigen bijdrage niet realiseren.
Volgens mij maak je een kommafout. 200M/86400=ruim 2300 certificaten per seconde.

staat 200kk binnen 24 uur, dus per dag.

Ja je hebt gelijk! staat hier op uk locale
13-02-2021, 13:08 door Anoniem
Door Anoniem: Fantastisch werk wat deze club doet. Maar zijn er ook alternatieven voor deze dienstverlener inmiddels? Let's Encrypt begint langzamerhand wel een gigantisch single point of failure te worden...
Inderdaad... niet alleen de organisatie, maar ook de manier waarop kennelijk met apparatuur wordt omgegaan is wel een beetje zorgwekkend voor zo iets belangrijks.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.