Let's Encrypt kan 200 miljoen certificaten binnen 24 uur vervangen

[Captain Kirk]

Certificaatautoriteit Let's Encrypt geeft op een doorsnee dag zo'n twee miljoen gratis tls-certificaten uit die websites gebruiken voor het opzetten van een beveiligde verbinding en identificatie. De organisatie is dankzij recent uitgevoerde werkzaamheden in staat om 200 miljoen certificaten op één dag uit te kunnen geven mocht dit noodzakelijk zijn geworden.

Meer dan 240 miljoen domeinen maken gebruik van een door Let's Encrypt uitgegeven certificaat. Vorig jaar maart was de certificaatautoriteit van plan om zo'n drie miljoen actieve certificaten wegens een softwarebug. die zich bij de uitgifte voordeed, te vervangen. Het ging om zo'n 2,6 procent van alle certificaten van dat moment. "Wat als de bug gevolgen had gehad voor al onze certificaten?", stelt ISRG-directeur Josh Aas de vraag. De Internet Security Research Group (ISRG) is de organisatie achter Let's Encrypt.

In dit geval zouden meer dan 150 miljoen certificaten voor meer dan 240 miljoen domeinen moeten worden vervangen. Om daar technisch klaar voor te zijn besloot Let's Encrypt onlangs verschillende aanpassingen en upgrades door te voeren. Zo is er een nieuwe databaseserver neergezet die over dual AMD EPYC 7542-processors beschikt, uitgerust met 64 fysieke cores en twee terabyte aan werkgeheugen.

De vorige server was een dual Intel Xeon E5-2650 met 24 fysieke cores en één terabyte geheugen. Volgens Aas een prima machine, maar niet in staat om alle certificaten binnen een dag te vervangen. Naast de databaseserver kregen ook het interne netwerk, de beschikbare bandbreedte en de hardware security modules voor het signeren van certificaten een upgrade, aldus Aas in een beschrijving van de uitgevoerde werkzaamheden.

 

bron: https://www.security.nl