ISRG ผู้ให้บริการ Let’s Encrypt ร่วมกับ Mozilla ประกาศเริ่มใช้งานโปรโตคอล Distributed Aggregation Protocol (DAP) สำหรับเก็บข้อมูลสถิติการใช้งานเบราว์เซอร์ Firefox หลังพัฒนาโปรโตคอลร่วมกันมานานกว่าหนึ่งปี

DAP พัฒนาต่อจาก Prio ที่ Firefox ใช้งานมาตั้งแต่ปี 2018 แนวทางสำคัญคือการรายงานข้อมูลผ่านตัวกลางที่เห็นข้อมูลเพียงบางส่วน ตัวไคลเอนต์ที่รายงานสามารถกระจายข้อมูลแยกกันรายงานไปยังเซิร์ฟเวอร์หลายตัว ผู้ที่อ่านสถิติสุดท้ายจะเห็นแต่ภาพรวมเท่านั้น ตัว DAP นั้นเป็นโปรโตคอลเท่านั้น ทาง ISRG ยังเปิดบริการ Divvi Up ที่สำหรับให้บริการโครงการต่างๆ ที่ต้องการเก็บสถิติ ตอนนี้ยังไม่เปิดให้บริการโครงการอื่นๆ แต่ให้ลงชื่อแสดงความสนใจไว้ได้

Internet Security Research Group (ISRG) กลุ่มวิจัยด้านความปลอดภัยอินเทอร์เน็ต องค์กรแม่ของ Let's Encrypt มีโครงการย่อยอีกตัวชื่อ Prossimo ทำเรื่องความปลอดภัยของหน่วยความจำ (memory safety) ซึ่งเป็นช่องโหว่สำคัญของซอฟต์แวร์จำนวนมาก

ภารกิจของ Prossimo คือการเขียนซอฟต์แวร์โอเพนซอร์สสำคัญๆ ที่ใช้กันแพร่หลายให้เป็น memory safe ตัวอย่างคือ mod_tsl ของ Apache Web Server ที่เขียนด้วยภาษา Rust, Rustls การเขียน OpenSSL ขึ้นมาใหม่ด้วยภาษา Rust รวมถึงการเขียนซอฟต์แวร์ DNS, NTP ขึ้นมาใหม่ด้วย Rust เป็นต้น

ช่วงหลังเราเห็นความนิยมใช้ภาษา Rust ทดแทน C ด้วยเหตุผลด้านความปลอดภัย เพราะมีฟีเจอร์ memory safety ที่ตัวภาษาเอง ตัวอย่างที่สำคัญคือ Android จะเริ่มใช้ Rust เขียนบางส่วนของ OS แล้ว

ถ้าไม่นับระดับของ OS โครงการหนึ่งที่เป็นหัวหอกในเรื่องนี้คือ Rustls ไลบรารีที่เขียนขึ้นมาใช้แทน OpenSSL ซึ่งเป็นไลบรารีสำคัญของโลกซอฟต์แวร์ เพราะถูกใช้ในการเชื่อมต่อแบบปลอดภัย (SSL/TLS) แต่ตัว OpenSSL เขียนด้วย C จึงมีบั๊กหรือช่องโหว่หน่วยความจำอยู่มาก ตัวอย่างที่โดดเด่นคือ กรณีของบั๊ก Hearthbleed ที่สร้างผลกระทบไปทั่วโลกในช่วงปี 2014

ผู้ใช้ Apache Web Server คงคุ้นเคยกับ mod_ssl ที่ใช้จัดการ HTTPS โดยโมดูลนี้เขียนด้วยภาษา C ซึ่งมีปัญหาตามมาเรื่องความปลอดภัยที่ระดับตัวภาษา และที่ผ่านมาก็พบช่องโหว่ความปลอดภัยมากมาย

ล่าสุด กูเกิลประกาศสนับสนุนโครงการใหม่ mod_tls ที่ทำงานแบบเดียวกัน แต่เขียนด้วยภาษา Rust ที่ออกแบบมาให้ปลอดภัยมากขึ้น (memory safety)

โมดูล mod_tls จะรันอยู่บนไลบรารี Rustls ที่สร้างขึ้นมาทดแทน OpenSSL ซึ่งเป็นภาษา C เช่นกัน หน่วยงานที่พัฒนาคือ Internet Security Research Group (ISRG) ที่เรารู้จักจากโครงการ Let's Encrypt จะรับเงินสปอนเซอร์จากกูเกิล ไปจ้าง Stefan Eissing หนึ่งในนักพัฒนา Apache Web Server มานำทีม

ISRG องค์กรผู้ให้บริการ Let's Encrypt ประกาศเปิดตัวบริการ Prio บริการเก็บสถิติการใช้งานแบบเคารพความเป็นส่วนตัว สำหรับใช้งานเก็บสถิติจากผู้ใช้ ไม่ว่าจะเป็นการเก็บค่าพิกัดจุดที่ผู้ใช้นิยมใช้งาน, ความนิยมใช้งานหน้าเว็บ, หรือการติดตั้งแอปในโทรศัพท์

Let's Encrypt (LE) เป็นระบบหน่วยงานออกใบรับรอง (Certification Authority หรือ CA) ที่สามารถใช้งานได้ฟรีและใช้ระบบอัตโนมัติในการจัดการใบรับรองความปลอดภัยสำหรับเว็บไซต์เข้ารหัส โดยเราจะใช้งานผ่าน client ที่มีให้ มีจุดมุ่งหมายเพื่อสาธารณประโยชน์ ระบบของ LE ให้บริการโดย Internet Security Research Group (ISRG)

ข้อมูลเกี่ยวกับใบรับรอง

ใบรับรองที่ออกโดย LE จะมีอายุเพียงแค่ 90 วันเท่านั้น ซึ่งดูเป็นช่วงเวลาที่สั้นสำหรับผู้ดูแลระบบหลายๆคนที่ใช้งานใบรับรองที่มีอายุ1ปี ซึ่งทาง LE ให้เหตุผลในการออกใบรับรองที่มีอายุเพียงแค่ 90 วันไว้ดังนี้