Kâr amacı gütmeyen Internet Security Research Group (ISRG) ücretsiz, otomatik ve açık bir sertifika imzalama otoritesi (CA) olan Let’s Encrypt’in, 2015’teki lansmanından bu yana bir milyar sertifika verdiğini raporladı [1].
İnternet alan adlarında HTTPS kullanımı anlamına gelen Let’s Encrypt inisiyatifinin 3 amacı var; kimlik doğrulama, bütünlük ve şifrelemede güvenlik. Böylece HTTP isteklerinin güvenli bir şifreli kanal üzerinden iletilmesine izin verilir, yani kullanıcıların site sahteciliği ve içerik manipülasyonu da dahil olmak üzere bir dizi kötü amaçlı etkinlikten korunmasını sağlanır.
Web kullanıcılarını şifreleme oranını hızlandırmak ve HTTPS maliyetlerini aşağı çekmek amacı ile başlatılan Let’s Encrypt hareketinin yarattığı ACME (Otomatik Sertifika Yönetimi Çerçevesi) protokolü SSL sertifikası temini ve kurulumunu kolaylaştırıyor. Bunlar müdahele gerektirmeden, otomatik olarak da yenileniyor [5].
Dünyanın % 80’i Https Adresli Web Adresleri Kullanıyor
2014’de başlatılan ve internetin özgür ve güvenli olmasını hedefleyen Let’s Encypt projesi [2] sayesinde günümüzde dünya çapında kullanılan web sayfalarının % 80’i “Https” kullanıyor. ABD’de bu oranın % 91’e yükseldiği belirtiliyor [3][4].
Araştırmada bu durum şöyle yorumlanıyor;
“2017’den beri tarayıcılar daha fazla özellikleri olduğu için HTTPS kullanmaya başladı ve kullanıcılarıyla HTTPS kullanmama riskleri hakkında iletişim kurma yollarını büyük ölçüde geliştirdi. Web siteleri HTTPS kullanmadıklarında kullanıcılarını riske attığından, büyük tarayıcılar artık daha güçlü uyarılar gösteriyor. Birçok site HTTPS uygulayarak bu soruna cevap verdi.”
Ancak her şeyde olduğu gibi, kötü niyetli insanlar burada da ortaya çıkıyorlar. Özgür internet için düşünülen ama bir yandan da insanları güvende tutmaya yarayan bu HTTPS adresleri, kötü niyetli trafiği maskelemek ve kötü amaçlı sitelere yönlendirmek için alan bu tür gruplar bulunabiliyor[6]. Bu nedenle Let’s Encrypt bir sertifika başvuru sahibinin sertifika istedikleri etki alanını gerçekten kontrol etmesini sağlamaya yönelik çalışmalar yapıyor [7].
[1] Let’s Encrypt Has Issued a Billion Certificates
[3] Google Transparency Report / Web’de HTTPS şifrelemesi
[4] SSL Ratios
[5] How It Works
[6] ‘Secure’ in Chrome Browser Does Not Mean ‘Safe’
[7] Multi-Perspective Validation Improves Domain Validation Security