یادگیری از ۱۰ سال موفقیت Let’s Encrypt

بله، داشتن پشتیبانی یک بنیاد کمک می کند، اما مهمتر از آن یک راه حل فن آوری محکم برای یک مشکل شناخته شده است.

بنیان‌ها در نرم‌افزار، به‌طور کلی، و به‌طور خاص، میزان موفقیت یا عدم موفقیت دارند. با توجه به غیبت آشکار از پشتیبانی فروشنده ابری، من با ۹۰۸ کلمه چشم انداز برای انجمن Open Enterprise Linux  و OpenTofu رکورددار هستم. با این حال، من همچنین پروژه هایی مانند Kubernetes را توصیه کرده ام دقیقاً به دلیل حمایت جامعه تحت رهبری آنها. بنیادها می توانند به پرورش جامعه کمک کنند اما به خودی خود تضمینی برای موفقیت نیستند.

به همین دلیل است که Let’s Encrypt و گروه تحقیقاتی امنیت اینترنت (ISRG) بسیار جذاب هستند. هیچ دلیل واضحی وجود ندارد که آنها باید موفق می شدند، اما ۱۰ سال بعد، ISRG’s Let’s Encrypt بیش از چهار میلیارد گواهینامه برای ایمن سازی بیش از ۳۶۰ میلیون وب سایت صادر کرده است. همچنین احتمالاً Prossimo، یک پروژه ایمنی حافظه، و Divvi Up، یک سیستم معیارهای حفظ حریم خصوصی، از این الگو پیروی می کند، حتی با وجود اینکه بسیاری از بنیادهای دیگر موفق به ارائه پیروزی های مشابه نمی شوند (OpenStack ، کسی هست؟).

سوال این است که چرا. چرا Let’s Encrypt موفق شد، و دیگر سازمان های غیرانتفاعی یا پروژه های منبع باز چه چیزی می توانند از آن بیاموزند؟

۱۰ سال امنیت اینترنت

یکی از دلایل کلیدی موفقیت Let’s Encrypt این است که یک مشکل بزرگ را حل کرد. زمانی که Let’s Encrypt در سال ۲۰۱۳ تاسیس شد، تنها ۲۸ درصد از بارگذاری صفحات در وب ایمن بود. سارا گرن، معاون ارتباطات در ISRG، می‌گوید: «گزینه‌های زیادی [مانند TLS و SSL] در دسترس بودند، اما به طور گسترده مورد استفاده قرار نگرفتند. برای پیشرفت واقعی امنیت وب، این باید تغییر کند، و باید متناسب با سرعت رشد و وابستگی به اینترنت که مردم هر روز دارند، تغییر کند.»

Let’s Encrypt سعی نکرد با اعلامیه های خدمات عمومی چیزها را تغییر دهد. آنها بر اتوماسیون و کاهش پیچیدگی دریافت گواهی تمرکز کردند. توسعه دهندگان هر چه راحت تر بتوانند گواهینامه ها را در وب سایت های خود بپذیرند و اعمال کنند، احتمال استفاده از آنها بیشتر می شود. همانطور که استیو اوگریدی، استیو اوگریدی، RedMonk اعلام کرده است، Convenience برنامه قاتل برای توسعه دهندگان است. .

این همچنین کمک کرد که ISRG و ابتکار Let’s Encrypt آن تلاشی برای رقابت با مقامات گواهی تجاری نداشته باشند. گرن می‌گوید: «ما اینجا نیستیم که قهرمان شویم. تمام تلاش ما این است که یک مشکل را حل کنیم.» Let’s Encrypt با همکاری در کنار ارائه دهندگان اختصاصی گواهینامه ها، می تواند بر حل مشکل امنیت اینترنت تمرکز کند، نه جمع آوری اعتبار برای انجام این کار.

وقتی از گرن خواستم راز موفقیت ISRG را با Let’s Encrypt شناسایی کند، او تردید نکرد: «ما به خوبی می‌دانیم که چه کاری انجام می‌دهیم، و در آن مسیر می‌مانیم. و آنچه که ما به خوبی انجام می دهیم، مقابله با مشکلات زیرساخت مهندسی دشوار است، به ویژه در رابطه با امنیت اینترنت، که ISRG از طریق دریچه اتوماسیون، کارایی و مقیاس با آن مقابله می کند. ISRG بر حل مشکلات گسسته تمرکز دارد و در انجام این کار با Let’s Encrypt به موفقیت بزرگی دست یافته است. همان تمرکز مبتنی بر بنیاد باید به Prossimo و Divvi Up کمک کند.

رازهای موفقیت آنها

واضح است که رویکرد بنیادی ISRG کارساز بوده است و آن را قادر می سازد بدون رقابت در کنار «رقبا» شرکتی کار کند. با این حال، توجه به این نکته مهم است که پایه ها برای موفقیت یک پروژه نرم افزاری ضروری نیستند. در دنیای مقامات گواهی، Comodo و Digicert در کنار Let’s Encrypt رشد می کنند. خارج از حوزه امنیت اینترنت، داستان تقریباً مشابهی است. سخت است استدلال کنیم که HashiCorp، MongoDB، Elastic، و غیره، در موفقیت کسب و کار چندان محبوب نیستند. همچنین این درست نیست که معرفی یک بنیاد به بازار تضمین کند که محصولات تک فروشنده را شکست خواهد داد. صحبت از HashiCorp شد، حتی زمانی که او پروژه OpenTofu را راه‌اندازی کرد برای ارائه یک منبع باز، بنیاد- جیم زملین، مدیر عامل بنیاد لینوکس که توسط HashiCorp’s Terraform پشتیبانی می‌شود، به من گفت که معتقد است “هر دو Terraform و OpenTofu به دلایل مختلف موفق خواهند شد.”

از نظر او Terraform موفق خواهد شد زیرا نرم افزار فوق العاده ای است که یک شرکت معتبر پشت آن قرار دارد. او همچنین می‌بیند که OpenTofu سهم بزرگی از بازار را به خود اختصاص می‌دهد: «هیچ‌کس نمی‌خواهد منابع مهندسی بزرگی را در پروژه‌ای سرمایه‌گذاری کند که به‌طور بی‌طرف در اختیار نیست یا تحت مالکیت و کنترل یک نهاد تجاری واحد است». این منجر به “سرمایه گذاری بهتر” در OpenTofu خواهد شد. علیرغم شرکت‌های نسبتاً کوچکی که امروزه در OpenTofu مشارکت دارند، Zemlin معتقد است “وابستگی فروشنده پایین‌دستی به OpenTofu توسعه‌یافته اکوسیستم بزرگ‌تری ایجاد می‌کند زیرا ارائه‌دهندگان بیشتری برای بهبود محصولات پایین‌دستی خود سرمایه‌گذاری مجدد می‌کنند.”

شاید. پروژه های تحت رهبری بنیاد همیشه شکست می خورند.

چرا Kubernetes موفق شد در حالی که OpenStack شکست خورد، علیرغم اینکه هر دو تا لبه پر از جوامع تحت رهبری بنیاد بودند؟ به گفته Zemlin، “به نظر می رسد که کانتینرها [Kubernetes] انتزاع مناسبی برای بارهای کاری رایانش ابری بوده اند و نه VM [OpenStack].” فناوری مهم است. هیچ بنیادی نمی تواند بر روی اشتباه انتخاب مشتری برای فناوری های خاص غلبه کند.

این ما را به ISRG و مأموریت آن بازمی گرداند. ISRG مانند مشاهده ای که در سال ۲۰۱۵ در مورد امنیت وب سایت انجام داد، امروز یک مشکل به همان اندازه بزرگ در مورد امنیت حافظه می بیند. همانطور که گرن بیان می کند، “ما زیرساخت ها و زیرساخت های مختلف را که اینترنت به آن متکی است نگاه کردیم و دیدیم که چه مقدار از آن به زبان C و C++ نوشته شده است” با تمام مشکلات مربوط به امنیت حافظه، باگ ها و آسیب پذیری ها. . چرا الان این یک مشکل است؟ از این گذشته ، چنین زبان هایی برای مدت طولانی مشکل دارند. Gran مایکروسافت و گوگل را به خاطر اذعان به اینکه اکثریت قریب به اتفاق آسیب‌پذیری‌های آن‌ها ناشی از مشکلات ایمنی حافظه است، قدردانی می‌کند، که ایمنی حافظه را به عنوان یک مشکل بزرگ و مشکلی که می‌توان از طریق زبان‌هایی مانند Rust حل کرد.

آیا آنها به روشی مشابه Let’s Encrypt موفق خواهند شد؟ هیچ چیز قطعی نیست، اما تلاقی یک مشکل بزرگ با یک فناوری روشن که می تواند کمک کند (در این مورد، Rust) احتمال موفقیت را بسیار بیشتر می کند. چه یک بنیاد غیرانتفاعی یا یک شرکت انتفاعی باشید، به نظر می رسد تمرکز بر حل مشکل مشتری، همراه با کمی شانس در انتخاب فناوری مشتری، موفقیت را «تضمین می کند».