Các nhật ký Certificate Transparency ( CT ), giúp bảo mật web bằng cách theo dõi tất cả chứng chỉ SSL được cấp bởi các cơ quan chứng thực, giờ đây đã trở nên rẻ hơn và dễ vận hành hơn nhiều. Một công nghệ mới gọi là Static CT API đã giảm chi phí vận hành từ hơn 100.000 đô la Mỹ mỗi năm xuống khoảng 10.000 đô la Mỹ hàng năm, khơi dậy các cuộc thảo luận trong cộng đồng về việc liệu có nên có thêm nhiều tổ chức tham gia vận hành những dịch vụ quan trọng này hay không.
So sánh Chi phí
- Vận hành CT Log Truyền thống: Hơn 100.000 USD mỗi năm
- API CT Tĩnh Mới: Khoảng 10.000 USD mỗi năm (bao gồm phần cứng, colocation, băng thông)
- Chi phí Băng thông CDN Ước tính: Hơn 60.000 USD mỗi năm cho các nhà cung cấp lớn
 |
|---|
| Mặt trời tượng trưng cho những tiến bộ khai sáng trong các nhật ký Certificate Transparency, giúp bảo mật web trở nên dễ tiếp cận hơn |
Yêu cầu băng thông gây tranh luận
Cộng đồng đang tích cực thảo luận về việc liệu yêu cầu băng thông 2-3 Gbps đường ra có thực tế đối với các nhà vận hành nhỏ hơn hay không. Một số người dùng đã đặt câu hỏi về con số này, với một người tính toán rằng ngay cả với tất cả việc cấp chứng chỉ hàng ngày, lưu lượng truy cập cũng phải thấp hơn nhiều. Tác giả đã làm rõ rằng băng thông này chủ yếu dành cho lưu lượng đọc từ các dịch vụ giám sát, không phải việc gửi chứng chỉ mới. Như một người bình luận đã lưu ý, yêu cầu này khiến dịch vụ khá khó tiếp cận trừ khi bạn chỉ chuyển phần lớn lưu lượng này sang CloudFront / CloudFlare , điều này có thể dẫn đến chi phí hàng tháng 60.000 đô la Mỹ hoặc hơn chỉ riêng cho băng thông.
Cuộc thảo luận về băng thông tiết lộ một thách thức chính: trong khi công nghệ mới đã giảm đáng kể độ phức tạp và yêu cầu máy chủ, chi phí mạng vẫn là rào cản đáng kể đối với các nhà vận hành cá nhân hoặc tổ chức nhỏ muốn đóng góp vào cơ sở hạ tầng bảo mật web.
Yêu cầu kỹ thuật để vận hành CT Log
- Máy chủ: Tối thiểu 1 máy chủ (thời gian hoạt động 99% trong 3 tháng)
- CPU/Bộ nhớ: 4 lõi, 2GB RAM (yêu cầu bộ nhớ ECC)
- Băng thông: 2-3 Gbps đường truyền ra
- Tùy chọn lưu trữ:
- 3-5 TB không gian hệ thống tệp SSD dự phòng, HOẶC
- 3-5 TB bộ nhớ đối tượng tương thích S3 + 200GB bộ nhớ đệm SSD
- Nhân sự: Yêu cầu tối thiểu 2 người liên hệ
Kiến trúc lưu trữ tạo ra sự quan tâm về mặt kỹ thuật
Các thành viên cộng đồng đặc biệt hào hứng với phương pháp lưu trữ mới giúp các nhật ký CT hoạt động với các tệp tĩnh đơn giản. Thiết kế này cho phép các nhà vận hành phục vụ nhật ký trực tiếp từ bộ lưu trữ đối tượng như Amazon S3 hoặc thông qua mạng phân phối nội dung, thay vì yêu cầu các hệ thống cơ sở dữ liệu phức tạp. Thay đổi này giải quyết những khiếu nại trước đây về việc các triển khai CT truyền thống quá phức tạp do mong muốn sai lầm về tính khả dụng ghi cao.
Các cuộc thảo luận kỹ thuật cũng khám phá các mô hình lưu trữ thay thế, với một số người đề xuất rằng chính các Cơ quan Chứng thực nên xử lý nhiều trách nhiệm lưu trữ hơn thay vì dựa vào các nhà vận hành nhật ký bên thứ ba. Tuy nhiên, những người khác chỉ ra rằng việc lưu trữ độc lập là cần thiết cho mô hình bảo mật, vì toàn bộ mục đích là ngăn chặn bất kỳ bên nào có thể xóa hoặc sửa đổi hồ sơ chứng chỉ.
Mối quan ngại của cộng đồng về việc tập trung hóa
Trong khi hoan nghênh việc giảm chi phí, một số thành viên cộng đồng lo lắng về những tác động thực tế của yêu cầu băng thông. Nhu cầu mạng cao có nghĩa là trên thực tế, chỉ các tổ chức có cơ sở hạ tầng băng thông rộng hiện có hoặc những người sẵn sàng trả phí hosting cloud đáng kể mới có thể tham gia. Điều này có thể hạn chế sự đa dạng của các nhà vận hành nhật ký mà hệ thống rất cần.
Cuộc thảo luận cũng đề cập đến những câu hỏi rộng hơn về cơ sở hạ tầng bảo mật web, với một số người ủng hộ các phương pháp thay thế như DANE ( DNS-based Authentication of Named Entities ) có thể giảm sự phụ thuộc vào các Cơ quan Chứng thực tập trung hoàn toàn. Tuy nhiên, những người khác lưu ý rằng những lựa chọn thay thế như vậy phải đối mặt với những thách thức áp dụng riêng của chúng.
Static CT API mới đại diện cho một bước tiến đáng kể trong việc làm cho cơ sở hạ tầng bảo mật web quan trọng trở nên dễ tiếp cận hơn, ngay cả khi các rào cản thực tế như chi phí băng thông vẫn tiếp tục hạn chế ai có thể tham gia bảo vệ hệ sinh thái internet rộng lớn hơn.