ครบรอบ 10 ปีของ Let’s Encrypt

 (letsencrypt.org)
11 คะแนน โดย GN⁺ 2025-12-10 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • หลังจากออก ใบรับรองสาธารณะ ใบแรกในปี 2015 Let’s Encrypt ได้เติบโตเป็น หน่วยงานออกใบรับรอง (CA) ที่ใหญ่ที่สุด ซึ่งออกใบรับรองมากที่สุดในโลก
  • โดยมี ความสามารถในการขยายตัวบนพื้นฐานของระบบอัตโนมัติ เป็นหัวใจสำคัญ ปัจจุบันออกใบรับรองได้มากกว่า 10 ล้านใบต่อวัน และกำลังเข้าใกล้การปกป้องเว็บไซต์ราว 1 พันล้านแห่ง
  • ช่วยยกระดับสัดส่วนการเข้ารหัส HTTPS ทั่วโลกจาก ต่ำกว่า 30% ไปสู่ระดับ 80% ส่งผลให้ความปลอดภัยของเว็บดีขึ้น
  • เพิ่มความสามารถอย่างต่อเนื่อง เช่น โดเมนสากล, ไวลด์การ์ด, ใบรับรองอายุสั้น และใบรับรอง IP พร้อมเสริมประสิทธิภาพของโครงสร้างพื้นฐาน
  • ภายใต้การสนับสนุนขององค์กรไม่แสวงหากำไร ISRG ยังคงเดินหน้าภารกิจลดอุปสรรคในการเข้าถึงอินเทอร์เน็ตผ่าน โครงสร้างพื้นฐานความปลอดภัยแบบฟรีและอัตโนมัติ

10 ปีบนเส้นทางของ Let’s Encrypt

  • หลังจากออก ใบรับรองสาธารณะ ใบแรกเมื่อวันที่ 14 กันยายน 2015 ก็ได้มอบใบรับรองที่ไคลเอนต์ส่วนใหญ่เชื่อถือได้ผ่านซอฟต์แวร์อัตโนมัติ
    • จากนั้นได้ออกใบรับรองไปหลายพันล้านใบ และเติบโตเป็นหน่วยงานออกใบรับรองที่ใหญ่ที่สุดในโลก
    • โปรโตคอล ACME ถูกผสานเข้ากับอีโคซิสเต็มของเซิร์ฟเวอร์อย่างกว้างขวาง จนกลายเป็นมาตรฐานในหมู่ผู้ดูแลระบบ
  • ในปี 2023 องค์กรแม่แบบไม่แสวงหากำไร Internet Security Research Group(ISRG) ก็ครบรอบ 10 ปีของการก่อตั้ง
    • และยังคงดำเนินโครงการโครงสร้างพื้นฐานเพื่อประโยชน์สาธารณะร่วมกับ Let’s Encrypt ต่อไป

การเติบโตและการขยายตัว

  • เดือนมีนาคม 2016 ทำสถิติ ใบรับรองใบที่ 1 ล้าน และในเดือนกันยายน 2018 ก็ทำได้ถึง ออก 1 ล้านใบต่อวัน ก่อนจะมี ยอดสะสม 1 พันล้านใบ ในปี 2020
    • ณ สิ้นปี 2025 มีการออกใบรับรอง มากกว่า 10 ล้านใบต่อวัน
    • จำนวนไซต์ที่ใช้งานอยู่เข้าใกล้ราว 1 พันล้านไซต์
  • การเพิ่มขึ้นของปริมาณการออกใบรับรองเป็นข้อพิสูจน์ถึง เสถียรภาพของสถาปัตยกรรมและความสำเร็จของวิสัยทัศน์ด้านระบบอัตโนมัติ
    • ปริมาณใบรับรองที่ออกเป็นเพียงตัวชี้วัดทางอ้อม โดยแก่นสำคัญคือ การเพิ่มอัตราการใช้งาน HTTPS
    • ตามสถิติของ Firefox สัดส่วนการเชื่อมต่อ HTTPS เพิ่มจาก ต่ำกว่า 30% → มากกว่า 80% ภายใน 5 ปี
    • ในสหรัฐอเมริกาคงอยู่ที่ราว 95%

วิวัฒนาการด้านเทคนิคและการปรับปรุงโครงสร้างพื้นฐาน

  • รองรับ Internationalized Domain Names (IDN) ในปี 2016, ใบรับรองไวลด์การ์ด ในปี 2018 และเปิดตัว ใบรับรองอายุสั้นและใบรับรอง IP ในปี 2025
  • ในปี 2021 มีการ อัปเกรดเซิร์ฟเวอร์ฐานข้อมูล เพื่อรองรับการประมวลผลข้อมูลขนาดใหญ่
    • พร้อมเปลี่ยนเครือข่ายภายในจาก กิกะบิต → 25 กิกะบิตอีเธอร์เน็ต
  • ในปี 2025 มีการทดลองและตัดสินใจนำไปใช้งานจริงกับ การปรับปรุงโครงสร้างล็อก Certificate Transparency
    • เดินหน้า อัปเกรดสถาปัตยกรรม เพื่อรองรับการเติบโตอย่างต่อเนื่อง

ระบบความเชื่อถือและงานด้านมาตรฐาน

  • สามารถออกใบรับรองสาธารณะช่วงแรกได้ด้วยการลงนามข้ามโดย IdenTrust
    • หลังจากนั้นได้สร้างและเผยแพร่ใบรับรองรูท CA ของตนเอง
  • ร่วมมือกับ CA/B Forum, IETF, โปรแกรมรูทของเบราว์เซอร์ และหน่วยงานอื่น ๆ เพื่อช่วยพัฒนาเว็บ PKI
  • ดำเนินงานด้าน วิศวกรรม PKI เช่น การจัดการสายโซ่ใบรับรอง, พิธีการกุญแจ, และการจัดทำเอกสาร

ปรัชญาอัตโนมัติและคุณค่าทางสังคม

  • เป้าหมายคือ ทำให้เว็บ PKI เป็นระบบอัตโนมัติอย่างสมบูรณ์ สร้างสภาพแวดล้อมที่ผู้ดูแลเว็บไซต์ไม่ต้องกังวลเรื่องใบรับรองอีกต่อไป
    • ยิ่งระบบอัตโนมัติประสบความสำเร็จมากเท่าไร ก็ยิ่งมีความเสี่ยงที่บริการจะถูกมองว่าเป็น ‘สิ่งที่มีอยู่โดยปกติ’
    • จึงเน้นย้ำความสำคัญของการสร้างการรับรู้อย่างต่อเนื่องและการระดมการสนับสนุน
  • ชุมชนสนับสนุนโครงการผ่านการใช้งานใบรับรองหลายสิบล้านใบต่อวันและ การร่วมบริจาค
  • ได้รับรางวัลอย่าง Levchin Prize (2022), O’Reilly Open Source Award (2019), และ IEEE Cybersecurity Award (2025)
  • ในปี 2019 มีการบันทึกประวัติและการออกแบบของโครงการในเชิงวิชาการผ่าน บทความวิชาการของงานประชุม ACM CCS

พันธมิตรและวิสัยทัศน์อนาคต

  • เปิดตัวได้ด้วยการสนับสนุนจากผู้สนับสนุนยุคแรกอย่าง Mozilla, EFF, Cisco, Akamai, IdenTrust
    • โดยเฉพาะ IdenTrust มีบทบาทสำคัญต่อ การทำให้บริการใบรับรองสาธารณะเกิดขึ้นจริง ผ่านการให้ cross-sign
  • ในอีก 10 ปีข้างหน้า มีเป้าหมาย ลดอุปสรรคด้านการเงิน เทคโนโลยี และข้อมูล เพื่อสร้างอินเทอร์เน็ตที่ปลอดภัยและเคารพความเป็นส่วนตัวมากยิ่งขึ้น
  • Let’s Encrypt เป็นโครงการของ ISRG ซึ่งเป็นองค์กรไม่แสวงหากำไร และดำเนินงานต่อเนื่องด้วย เงินบริจาคและสปอนเซอร์ชิป

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2025-12-10
ความคิดเห็นจาก Hacker News

  • ต้องขอบคุณ Let's Encrypt ที่ตอนนี้แทบจินตนาการถึงเว็บไซต์ที่ไม่มี TLS ไม่ออกแล้ว
    เมื่อก่อน CEO บริษัทเก่าของผมบอกว่า “ใบรับรองฟรีทำให้ลูกค้ารู้สึกว่ามันดูถูก” เลยปฏิเสธที่จะใช้ แต่ความคิดนั้น ไร้สาระสุดๆ
    มันเป็นผู้ออกใบรับรองรายใหญ่ที่สุดของโลก และลูกค้าก็ไม่เคยสนใจด้วยซ้ำว่าใบรับรองออกโดยใคร
    เลยสงสัยว่าคนอื่นเคยได้รับฟีดแบ็กด้านลบเกี่ยวกับการใช้ Let's Encrypt บ้างไหม

    • มี ผู้ให้บริการโฮสติ้ง บางรายที่บล็อกการใช้ใบรับรองจากภายนอก เพื่อบังคับขายเฉพาะใบรับรองแบบเสียเงินของตัวเอง
      พวกเขาปิดกั้นการเข้าถึง SSH หรือคอนเทนเนอร์ ทำให้ติดตั้งใบรับรองฟรีไม่ได้ แล้วก็ตั้งราคาใบรับรองของตัวเองสูงเกินจริง
      ถ้าฝ่ายการเมืองที่ไม่รู้เรื่องเทคโนโลยีเข้าใจเรื่องนี้ ก็คงกลายเป็น คดีฮั้วราคา ไปแล้ว
    • ถ้ามองจากมุม CEO ในปี 2022 ก็พอเข้าใจได้ เพราะตอนนั้น EV certificate เพิ่งหมดบทบาทไปได้ไม่นาน
      การแสดงผลแบบ EV ถูกเอาออกใน Chrome 77 และ Firefox 70 (ปี 2019) และหลังจากนั้นก็ยังมีคนที่ปรับตัวกับการเปลี่ยนแปลงนี้ไม่ได้
      บทความที่เกี่ยวข้อง: Extended Validation Certificates Are Really, Really Dead
    • ครั้งหนึ่งผมเคยแจ้งเรื่องใบรับรองหมดอายุของเว็บไซต์ Porsche แล้วไม่กี่ชั่วโมงต่อมาก็ถูกเปลี่ยนเป็น Let's Encrypt
      ตอนนั้นผมประหลาดใจมาก และคิดว่า Let's Encrypt เป็นเหมือน SSD ของอินเทอร์เน็ต — ให้ความรู้สึกเหมือนได้อัปเกรดขึ้นอีกขั้น
    • เคยมีช่วงหนึ่งที่ใบรับรอง EV ได้รับความเชื่อถือมากกว่า DV
      เบราว์เซอร์เคยมีสัญลักษณ์พิเศษให้กับใบรับรอง EV แต่ตอนนี้ยุคนั้นจบไปแล้ว
      ในชีวิตประจำวันมันดีขึ้นเพราะกระบวนการต่ออายุไม่ยุ่งยากแล้ว แต่ก็ยังมีความรู้สึกเหมือน สูญเสียอะไรบางอย่าง ไป
    • เมื่อราว 15 ปีก่อน ใบรับรอง EV ยังมีความหมายในกระบวนการขายอยู่ แต่หลังจากนั้นก็ไม่มีใครสนใจอีก

  • TLS ก่อนยุค Let's Encrypt นั้นแย่มากจริงๆ
    ต้องจ่ายเงินแยกตามโฮสต์ ยืนยันโดเมนด้วยมือ และต้องคอยจัดการต่ออายุทุกปี
    ตอนนี้แค่ติดตั้ง ACME client ครั้งเดียวก็จบ และสัดส่วน HTTPS ก็พุ่งจาก 30% ไปเป็น 80~95% ภายในไม่กี่ปี
    นวัตกรรมที่แท้จริงเกิดขึ้นได้เพราะ ระบบอัตโนมัติ (ACME) และโครงสร้างแบบไม่แสวงหากำไร
    ต่อไปอายุใบรับรองจะลดเหลือ 45 วัน ทำให้การติดตั้งแบบแมนนวลเป็นไปไม่ได้
    ตอนนี้ยังมีบางพื้นที่อย่าง IoT หรือแดชบอร์ดภายในที่ระบบอัตโนมัติยังไม่เพียงพอ

    • เมื่อก่อนใบรับรองมีอายุ 3 ปี และแบบ 2 ปีเพิ่งเริ่มมีในปี 2018
      Let's Encrypt เป็นผู้ผลักดันระบบอัตโนมัติรอบสั้นมาตั้งแต่ก่อนหน้านั้นแล้ว
    • เมื่อก่อนแค่ติดตั้งใบรับรองฟรีอายุ 3 ปีแล้วก็ลืมมันไปได้เลย แต่ตอนนี้มี เว็บไซต์ที่ใบรับรองหมดอายุ โผล่มาบ่อยจนรำคาญ
      ผมคิดว่าวงการ IT ของสหรัฐฯ ไล่ CA ดีๆ ออกจากตลาดไปหมดแล้ว
    • ตอนบริษัทกำลังย้ายสแตก เราคิดจะซื้อใบรับรองชั่วคราว แต่เพราะมี wildcard subdomain หลายสิบตัว ใบรับรองอายุ 1 ปีเลยราคา 30,000 ดอลลาร์
      สุดท้ายเลยสร้าง CA เองแล้วติดตั้งกับเซิร์ฟเวอร์ภายใน ก่อนจะย้ายกลับมาใช้ Let's Encrypt อีกที
      ตอนนี้แทบไม่อยากเชื่อเลยว่ายังเคยมีตลาดใบรับรองแพงๆ แบบนั้นอยู่
    • ฝั่ง IoT ผมคิดว่าน่าจะดีถ้า Matter protocol ใส่ความสามารถแบบ ACME เข้าไป เพื่อให้ฮับทำหน้าที่เป็น CA ของตัวเองได้
      ในโลกความจริงมันคงยากกับฮาร์ดแวร์ราคาถูก แต่ก็ยังแอบหวังอยู่

  • ตอนที่ผมเป็นผู้ดูแลระบบราวปี 2007~2011 ต้องสร้าง CSR ด้วย openssl เอง ซื้อใบรับรองจาก GoDaddy แล้วก็กระจายติดตั้งด้วยมือ
    พอมองย้อนกลับไปตอนนี้ก็รู้สึกว่าโลกเปลี่ยนไปโดยสิ้นเชิง
    Let's Encrypt คือหนึ่งใน บริการที่ยอดเยี่ยมที่สุด ในประวัติศาสตร์อินเทอร์เน็ต

    • ถ้ามีบริการแบบนี้สำหรับ S/MIME ด้วยก็คงดี
    • ยุคนั้นเต็มไปด้วย งานน่าเบื่อและยุ่งยาก ไม่รู้จบ
    • ไม่กี่ปีก่อนผมยังทำทุกอย่างด้วยมืออยู่เลย จนเพื่อนแนะนำ Let's Encrypt ให้ มันเหมือน เวทมนตร์ มาก

  • เหตุการณ์ Snowden ก็เป็นอีกปัจจัยใหญ่ที่ทำให้ TLS แพร่หลาย
    ก่อนหน้านั้นคนมองว่าเฉพาะเว็บไซต์ที่มีการจ่ายเงินเท่านั้นถึงจำเป็นต้องใช้ TLS และทราฟฟิกก็ถูกดักดูได้ง่าย
    ในงานบรรยายที่เผยแพร่ราวปี 2008 เจ้าหน้าที่สืบสวนของ IRS เคยพูดว่า เวลาไล่จับคาสิโนผิดกฎหมาย การเข้ารหัสไม่ได้เป็นอุปสรรคอะไรเลย

    • แต่สิ่งนี้เป็นการ บิดเบือนข้อเท็จจริงย้อนหลัง (retcon)
      Facebook เริ่มใช้ TLS ในปี 2011 และ Google Mail ก็เปิดใช้ TLS เป็นค่าเริ่มต้นในปี 2010
      ราวปี 2010 เว็บไซต์ที่ไม่ใช้ TLS ถึงขั้นถูกจัดว่าเป็นช่องโหว่ด้านความปลอดภัย
    • ในความเป็นจริง ตั้งแต่ปลายยุค 2000 เป็นต้นมา HTTPS ก็กลายเป็นสิ่งจำเป็นอยู่แล้วเพราะ HTTP แบบแทรกโฆษณา
      การปกป้องรายได้จากโฆษณาเป็นแรงผลักดันที่ใหญ่กว่า NSA เสียอีก

  • การที่การเข้ารหัสทราฟฟิกเว็บกลายเป็นค่าเริ่มต้นถือเป็นเรื่องดี แต่ก็น่าเสียดายที่ตอนนี้การใช้ฟังก์ชันพื้นฐานต้องอาศัย การอนุมัติจาก CA

    • ผมอยากถามว่าคำว่า “การอนุมัติจาก CA” หมายถึงอะไร
      Let's Encrypt แค่ตรวจสอบความเป็นเจ้าของโดเมนเท่านั้น ไม่ได้ยุ่งเกี่ยวกับเนื้อหาของเว็บไซต์
      บทความที่เกี่ยวข้อง: Phishing and Malware
    • นี่ไม่ใช่ปัญหาใหม่ แต่เป็นปัญหาเชิงโครงสร้างเก่าที่ Let's Encrypt ก็แก้ไม่ได้
      ทั้งสแตกมี จุดล้มเหลวเพียงจุดเดียว แบบนี้อยู่หลายจุด
    • จริงๆ แล้ว DNS ก็เป็นองค์ประกอบที่แทบขาดไม่ได้เหมือนกัน จึงอยู่ในสภาพคล้ายกัน
      CA รายใหญ่หรือ TLD ส่วนใหญ่ก็ไม่ได้ถามถึงลักษณะของเว็บไซต์เช่นกัน

  • ตอนที่ Let's Encrypt เปิดตัวใหม่ๆ ผมคิดว่า “ไอเดียดีนะ แต่เบราว์เซอร์จะยอมรับไหม?”
    ตอนนี้ผมใช้มันกับ เว็บไซต์ self-hosted ทุกเว็บ และที่บริษัทก็กำลังจะเปลี่ยนไปใช้การต่ออายุอัตโนมัติ
    พอนึกถึงความเจ็บปวดจาก SSL/TLS ในอดีต ทุกครั้งที่สร้างเว็บใหม่แล้วได้ใบรับรองจาก LE ก็อด ยิ้มออกมา ไม่ได้

  • ผมหวังว่า Let's Encrypt จะรักษา ความเป็นอิสระ เอาไว้ได้ และไม่ถูกบริษัทยักษ์ใหญ่อย่าง Google เข้าซื้อกิจการ
    โลกที่การออก SSL ถูกใช้เป็นเครื่องมือในการเซ็นเซอร์คงน่ากลัวมาก
    ทุกวันนี้เบราว์เซอร์แทบทำให้เว็บ HTTP ดูเหมือนเป็นสิ่งอันตรายอยู่แล้ว

    • ถ้า Google จะเซ็นเซอร์ ก็มีวิธีที่แรงกว่า SSL อย่าง Safe Browsing blacklist อยู่แล้ว
    • Let's Encrypt เป็น องค์กรไม่แสวงหากำไร จึงไม่สามารถถูกซื้อกิจการแบบบริษัททั่วไปได้
      ตามกฎหมายภาษีของสหรัฐฯ ทรัพย์สินขององค์กรไม่แสวงหากำไรต้องคงอยู่ในภาคไม่แสวงหากำไร จึงไม่มีความเสี่ยงที่บริษัทยักษ์จะเข้ามาทำลายมัน

  • ทุกปีผมจะใส่ Let's Encrypt ไว้ใน รายชื่อองค์กรที่บริจาค
    ในยุคที่ทุกเบราว์เซอร์บังคับใช้ HTTPS ถ้าไม่มีบริการนี้ นักพัฒนาอินดี้ คงอยู่รอดได้ยาก
    มันเป็นโปรเจกต์ที่น่าขอบคุณจริงๆ

  • 10 ปีที่ผ่านมานั้นยอดเยี่ยมมาก
    ต่อจากนี้เราต้องการ การกระจายศูนย์ของโครงสร้างพื้นฐานการออกใบรับรอง และ การเสริมความทนทานของระบบ
    ในพื้นที่เกาะอินเทอร์เน็ตมักล่มบ่อย และเมื่ออายุใบรับรองสั้นลงก็อาจกลายเป็นปัญหาได้
    หวังว่าจะได้เห็นการร่วมมือกับหน่วยงานจดทะเบียน ccTLD เพื่อสร้าง ระบบออกใบรับรองในระดับท้องถิ่น

  • ผมใช้ Let's Encrypt มา 7 ปีแล้ว
    มันทำให้การรันบล็อกหรือโปรเจกต์ส่วนตัวผ่าน HTTPS เป็นไปได้ และทำให้ชีวิตดีขึ้นมาก
    ผมคงไม่ยอมจ่าย 50 ดอลลาร์ทุกปีเพื่ออะไรอย่าง Nextcloud แต่ ผลด้านความปลอดภัยที่ดีขึ้น นั้นมหาศาล
    ขอบคุณทุกคนที่ช่วยทำให้โลกนี้ดีขึ้นอีกนิด