Kỷ niệm 10 năm của Let’s Encrypt

 (letsencrypt.org)
11 điểm bởi GN⁺ 2025-12-10 | 1 bình luận | Chia sẻ qua WhatsApp
  • Kể từ lần cấp chứng chỉ công khai đầu tiên vào năm 2015, Let’s Encrypt đã phát triển thành tổ chức chứng thực (CA) lớn nhất với số lượng chứng chỉ được cấp nhiều nhất trên toàn thế giới
  • Lấy khả năng mở rộng dựa trên tự động hóa làm cốt lõi, hệ thống cấp hơn 10 triệu chứng chỉ mỗi ngày và đang tiến gần tới việc bảo vệ khoảng 1 tỷ website
  • Góp phần nâng tỷ lệ mã hóa HTTPS trên toàn cầu từ dưới 30% lên khoảng 80%, qua đó cải thiện an ninh web
  • Liên tục bổ sung các tính năng như tên miền quốc tế hóa, wildcard, chứng chỉ ngắn hạn và chứng chỉ IP, đồng thời tăng cường hiệu năng hạ tầng
  • Dưới sự hỗ trợ của tổ chức phi lợi nhuận ISRG, dự án tiếp tục theo đuổi sứ mệnh hạ thấp rào cản tiếp cận Internet thông qua hạ tầng bảo mật miễn phí và tự động hóa

10 năm hành trình của Let’s Encrypt

  • Kể từ lần cấp chứng chỉ công khai đầu tiên vào ngày 14 tháng 9 năm 2015, dự án đã cung cấp chứng chỉ đáng tin cậy cho phần lớn client thông qua phần mềm tự động hóa
    • Sau đó đã cấp hàng tỷ chứng chỉ và phát triển thành tổ chức chứng thực lớn nhất thế giới
    • Giao thức ACME đã được tích hợp trên toàn bộ hệ sinh thái máy chủ và trở thành tiêu chuẩn thực tế trong giới quản trị hệ thống
  • Năm 2023 cũng đánh dấu 10 năm thành lập của tổ chức mẹ phi lợi nhuận Internet Security Research Group(ISRG)
    • Tổ chức này tiếp tục vận hành các dự án hạ tầng vì lợi ích công cùng với Let’s Encrypt

Tăng trưởng và mở rộng

  • Tháng 3 năm 2016 đạt chứng chỉ thứ 1 triệu, tháng 9 năm 2018 đạt 1 triệu chứng chỉ cấp mỗi ngày, và năm 2020 đạt tổng cộng 1 tỷ chứng chỉ đã cấp
    • Tính đến cuối năm 2025, hệ thống cấp hơn 10 triệu chứng chỉ mỗi ngày
    • Số lượng website đang hoạt động đã tiến gần tới khoảng 1 tỷ
  • Sự gia tăng về khối lượng cấp phát chứng minh độ ổn định của kiến trúc và thành công của tầm nhìn tự động hóa
    • Số lượng chứng chỉ được cấp chỉ là chỉ số gián tiếp; trọng tâm cốt lõi là nâng cao tỷ lệ phổ cập HTTPS
    • Theo thống kê của Firefox, tỷ lệ kết nối HTTPS đã tăng từ dưới 30% lên hơn 80% chỉ trong 5 năm
    • Tại Mỹ, con số này duy trì ở khoảng 95%

Tiến hóa kỹ thuật và cải thiện hạ tầng

  • Năm 2016 hỗ trợ tên miền quốc tế hóa (IDN), năm 2018 hỗ trợ chứng chỉ wildcard, và năm 2025 giới thiệu chứng chỉ ngắn hạn và chứng chỉ IP
  • Năm 2021, dự án nâng cấp máy chủ cơ sở dữ liệu để đáp ứng xử lý dữ liệu quy mô lớn
    • Mạng nội bộ cũng được chuyển từ Gigabit sang Ethernet 25 Gigabit
  • Năm 2025, dự án thử nghiệm và quyết định triển khai cải tiến cấu trúc log Certificate Transparency
    • Thúc đẩy nâng cấp kiến trúc để đáp ứng tăng trưởng liên tục

Hệ thống tin cậy và hoạt động tiêu chuẩn hóa

  • Ban đầu có thể cấp chứng chỉ công khai nhờ chữ ký chéo từ IdenTrust
    • Sau đó xây dựng và phân phối chứng chỉ root CA riêng
  • Hợp tác với CA/B Forum, IETF, chương trình root của các trình duyệt và nhiều bên khác để đóng góp cho sự phát triển của web PKI
  • Thực hiện kỹ thuật PKI như quản lý chuỗi chứng chỉ, key ceremony và tài liệu hóa

Triết lý tự động hóa và giá trị xã hội

  • Mục tiêu là tự động hóa hoàn toàn web PKI, xây dựng môi trường nơi người vận hành website không cần phải để tâm tới chứng chỉ
    • Tự động hóa càng thành công thì dịch vụ càng dễ bị xem như một thứ ‘đương nhiên phải có’
    • Vì vậy dự án nhấn mạnh tầm quan trọng của việc tiếp tục nâng cao nhận thức và đảm bảo tài trợ
  • Cộng đồng hỗ trợ dự án thông qua việc sử dụng hàng chục triệu chứng chỉ mỗi ngày và tham gia tài trợ
  • Dự án đã nhận các giải thưởng như Levchin Prize(2022), O’Reilly Open Source Award(2019), IEEE Cybersecurity Award(2025)
  • Năm 2019, dự án ghi lại lịch sử và thiết kế của mình dưới góc độ học thuật thông qua bài báo tại hội nghị ACM CCS

Quan hệ đối tác và tầm nhìn tương lai

  • Dự án được khởi động với sự hỗ trợ của các nhà tài trợ ban đầu như Mozilla, EFF, Cisco, Akamai, IdenTrust
    • Đặc biệt, IdenTrust đóng vai trò then chốt trong việc hiện thực hóa dịch vụ chứng chỉ công khai thông qua cung cấp chữ ký chéo
  • Trong 10 năm tới, mục tiêu là giảm các rào cản về tài chính, kỹ thuật và thông tin để xây dựng một Internet an toàn hơn và tôn trọng quyền riêng tư hơn
  • Let’s Encrypt là dự án của tổ chức phi lợi nhuận ISRG, được duy trì bền vững thông qua quyên góp và tài trợ

Bài viết liên quan

1 bình luận

 
GN⁺ 2025-12-10
Ý kiến trên Hacker News

  • Nhờ Let's Encrypt mà giờ thật khó tưởng tượng một website không có TLS
    CEO công ty cũ từng từ chối dùng vì cho rằng “chứng chỉ miễn phí trông rẻ tiền với khách hàng”, nhưng đó thực sự là một ý nghĩ hết sức vô lý
    Đây là tổ chức cấp chứng chỉ lớn nhất thế giới, và khách hàng cũng chưa bao giờ quan tâm đơn vị phát hành chứng chỉ là ai
    Tôi cũng tò mò không biết có ai khác từng nhận phản hồi tiêu cực về việc dùng Let's Encrypt hay không

    • Một số nhà cung cấp hosting chặn việc dùng chứng chỉ bên ngoài để chỉ bán chứng chỉ trả phí của họ
      Họ chặn SSH hoặc quyền truy cập container để khiến việc cài chứng chỉ miễn phí là không thể, rồi đẩy giá chứng chỉ riêng của họ lên mức vô lý
      Nếu giới chính trị không mù mờ về kỹ thuật thì chuyện này đã thành một vụ bê bối thông đồng giá
    • Ở góc nhìn CEO năm 2022 thì cũng phần nào hiểu được, vì EV certificate mới biến mất chưa lâu
      Chrome 77 và Firefox 70 (2019) đã bỏ phần hiển thị EV, và sau đó vẫn có người không bắt kịp thay đổi
      Bài liên quan: Extended Validation Certificates Are Really, Really Dead
    • Trước đây tôi từng báo cho website Porsche về chứng chỉ đã hết hạn của họ, và chỉ vài giờ sau họ đã thay bằng Let's Encrypt
      Lúc đó tôi thực sự bất ngờ, và nghĩ Let's Encrypt giống như SSD của Internet — kiểu một bản nâng cấp lên hẳn một bậc
    • Đã từng có thời EV certificate được tin cậy hơn DV
      Trình duyệt từng hiển thị dấu hiệu đặc biệt cho EV certificate, nhưng thời đó giờ đã qua rồi
      Vì quy trình gia hạn rất phiền phức nên xét trong đời sống hàng ngày thì giờ tốt hơn, nhưng vẫn có cảm giác như đã đánh mất điều gì đó
    • Khoảng 15 năm trước, EV certificate còn có ý nghĩa trong quá trình bán hàng, nhưng sau đó thì chẳng ai quan tâm nữa

  • TLS trước thời Let's Encrypt thật sự kinh khủng
    Phải trả tiền cho từng host, xác minh domain thủ công, rồi quản lý gia hạn mỗi năm
    Giờ chỉ cần cài ACME client một lần là xong, và tỷ lệ HTTPS đã tăng từ 30% lên 80~95% chỉ trong vài năm
    Đột phá thực sự đến từ tự động hóa (ACME) và cấu trúc phi lợi nhuận
    Sắp tới vòng đời chứng chỉ sẽ giảm xuống còn 45 ngày, nên cài đặt thủ công sẽ trở nên bất khả thi
    Vẫn còn những mảng như IoT hay dashboard nội bộ là chưa được tự động hóa đầy đủ

    • Trước kia chứng chỉ có hiệu lực 3 năm, và loại 2 năm phải đến 2018 mới xuất hiện
      Let's Encrypt đã dẫn dắt xu hướng tự động hóa với chu kỳ ngắn từ trước đó rồi
    • Trước đây chỉ cần cài chứng chỉ miễn phí 3 năm rồi quên nó đi, còn bây giờ website hết hạn chứng chỉ xuất hiện thường xuyên nên khá bất tiện
      Tôi nghĩ ngành IT Mỹ đã đẩy các CA tốt ra khỏi cuộc chơi
    • Có lần công ty đang chuyển đổi stack nên định mua chứng chỉ tạm thời, nhưng vì có hàng chục wildcard subdomain nên chứng chỉ 1 năm lên tới 30.000 USD
      Thế là tôi tự dựng CA và cài cho các server nội bộ, rồi cuối cùng lại chuyển về Let's Encrypt
      Giờ thật khó tin là thị trường chứng chỉ đắt đỏ như vậy từng tồn tại
    • Ở mảng IoT, tôi nghĩ sẽ hay nếu giao thức Matter có thêm khả năng ACME để hub có thể đóng vai trò CA riêng
      Thực tế thì trên phần cứng giá rẻ có lẽ khó làm được, nhưng tôi vẫn đang mơ về điều đó

  • Khi còn là quản trị viên hệ thống khoảng giai đoạn 2007~2011, tôi tự tạo CSR bằng openssl, mua chứng chỉ từ GoDaddy rồi triển khai thủ công
    Nghĩ lại bây giờ thấy như cả thế giới đã thay đổi hoàn toàn
    Let's Encrypt là một trong những dịch vụ tuyệt vời nhất trong lịch sử Internet

    • Giá mà cũng có một dịch vụ như vậy cho S/MIME
    • Thời đó đúng là chuỗi ngày của những công việc tẻ nhạt và rườm rà
    • Mãi đến vài năm trước tôi vẫn còn làm thủ công, rồi một người bạn giới thiệu Let's Encrypt, cảm giác đúng như phép màu

  • Vụ Snowden cũng là một động lực lớn cho việc phổ biến TLS
    Trước đó người ta cho rằng chỉ những website có giao dịch tiền bạc mới cần TLS, và lưu lượng có thể bị sniff rất dễ dàng
    Một điều tra viên của IRS trong bài nói chuyện khoảng năm 2008 từng nói rằng, khi bắt các sòng bạc bất hợp pháp thì mã hóa hoàn toàn không phải trở ngại gì

    • Nhưng đây là một kiểu bóp méo lại lịch sử (retcon)
      Facebook đã triển khai TLS vào năm 2011, còn Google Mail mặc định dùng TLS từ 2010
      Vào khoảng năm 2010, các website không dùng TLS đã bị xem là có lỗ hổng bảo mật
    • Thực ra từ cuối những năm 2000, HTTPS đã trở thành bắt buộc vì HTTP chèn quảng cáo
      Việc bảo vệ doanh thu quảng cáo còn là động lực lớn hơn cả NSA

  • Việc mã hóa traffic web trở thành mặc định là điều tốt, nhưng giờ lại đáng tiếc ở chỗ không thể dùng chức năng cơ bản nếu không có sự phê chuẩn của CA

    • Tôi muốn hỏi cụm “sự phê chuẩn của CA” ở đây nghĩa là gì
      Let's Encrypt chỉ xác minh quyền sở hữu domain, chứ không can thiệp vào nội dung website
      Bài liên quan: Phishing and Malware
    • Đây không phải vấn đề mới, mà là một vấn đề cấu trúc cũ kỹ vốn Let's Encrypt không giải quyết được
      Có rất nhiều điểm lỗi đơn lẻ như vậy trong toàn bộ stack
    • DNS cũng thực tế là thành phần bắt buộc, nên tình huống tương tự thôi
      Các tổ chức cấp chứng chỉ lớn hay TLD chủ chốt cũng không hỏi bản chất website là gì

  • Khi Let's Encrypt được công bố, tôi đã nghĩ “ý tưởng hay đấy, nhưng liệu các trình duyệt có chấp nhận không?”
    Giờ tôi áp dụng nó cho mọi website tự host, và công ty tôi cũng sắp chuyển sang tự động gia hạn
    Mỗi lần tạo website mới mà lấy được chứng chỉ LE, tôi lại mỉm cười, vì nhớ tới nỗi khổ SSL/TLS ngày xưa

  • Tôi mong Let's Encrypt giữ được tính độc lập, và không bị các tập đoàn lớn như Google thâu tóm
    Một thế giới nơi việc cấp SSL bị lạm dụng như công cụ kiểm duyệt sẽ thật khủng khiếp
    Dạo này các trình duyệt gần như khiến website HTTP trông chẳng khác gì phần mềm độc hại

    • Nếu Google muốn kiểm duyệt thì họ có các công cụ mạnh hơn SSL nhiều, như Safe Browsing blacklist
    • Let's Encrypt là một tổ chức phi lợi nhuận, nên không thể bị mua lại như doanh nghiệp bình thường
      Theo luật thuế Mỹ, tài sản phi lợi nhuận phải ở lại trong khu vực phi lợi nhuận, nên không có nguy cơ bị tập đoàn lớn phá hỏng

  • Mỗi năm tôi đều đưa Let's Encrypt vào danh sách quyên góp
    Trong thời đại mọi trình duyệt đều đòi HTTPS, nếu không có dịch vụ này thì các lập trình viên indie khó mà trụ nổi
    Đây thật sự là một dự án rất đáng biết ơn

  • 10 năm qua thật tuyệt vời
    Từ giờ trở đi, cần phân tán hóa hạ tầng cấp pháttăng cường khả năng phục hồi
    Ở các vùng đảo, Internet hay bị gián đoạn, nên khi vòng đời chứng chỉ ngắn lại thì có thể phát sinh vấn đề
    Hy vọng họ sẽ hợp tác với các cơ quan đăng ký ccTLD để xây dựng hệ thống cấp phát theo khu vực

  • Tôi đã dùng Let's Encrypt được 7 năm
    Nó giúp việc vận hành blog hay dự án cá nhân qua HTTPS trở nên khả thi, và cuộc sống tốt hơn rất nhiều
    Có lẽ tôi sẽ không trả 50 USD mỗi năm cho thứ như Nextcloud, nhưng hiệu quả cải thiện bảo mật thì cực kỳ lớn
    Cảm ơn tất cả những ai đã làm thế giới trở nên tốt đẹp hơn một chút