Let's Encrypt की 10वीं वर्षगांठ

 (letsencrypt.org)
11 पॉइंट द्वारा GN⁺ 2025-12-10 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • 2015 में पहला सार्वजनिक प्रमाणपत्र जारी करने के बाद, Let’s Encrypt दुनिया में सबसे अधिक प्रमाणपत्र जारी करने वाली सबसे बड़ी Certificate Authority (CA) बन गई
  • ऑटोमेशन-आधारित स्केलेबिलिटी को केंद्र में रखते हुए, यह हर दिन 1 करोड़ से अधिक प्रमाणपत्र जारी करती है और लगभग 1 अरब वेबसाइटों की सुरक्षा के करीब पहुंच चुकी है
  • वैश्विक स्तर पर HTTPS एन्क्रिप्शन अनुपात को 30% से कम से 80% स्तर तक बढ़ाकर वेब सुरक्षा बेहतर करने में योगदान दिया
  • Internationalized Domain, wildcard, short-lived और IP certificates जैसी सुविधाएँ लगातार जोड़ते हुए इन्फ्रास्ट्रक्चर प्रदर्शन को मजबूत किया
  • गैर-लाभकारी संगठन ISRG के समर्थन के तहत, मुफ्त और ऑटोमेटेड सुरक्षा इन्फ्रास्ट्रक्चर के जरिए इंटरनेट तक पहुंच की बाधाओं को कम करने के मिशन को जारी रखा

Let’s Encrypt के 10 साल की यात्रा

  • 14 सितंबर 2015 को पहला सार्वजनिक प्रमाणपत्र जारी करने के बाद, ऑटोमेशन सॉफ़्टवेयर के माध्यम से अधिकांश क्लाइंट द्वारा भरोसेमंद प्रमाणपत्र उपलब्ध कराए
    • इसके बाद अरबों प्रमाणपत्र जारी करते हुए यह दुनिया की सबसे बड़ी Certificate Authority के रूप में विकसित हुई
    • ACME प्रोटोकॉल पूरे सर्वर इकोसिस्टम में एकीकृत हुआ और सिस्टम एडमिनिस्ट्रेटरों के बीच मानक के रूप में स्थापित हुआ
  • 2023 में गैर-लाभकारी मूल संगठन Internet Security Research Group(ISRG) ने अपनी स्थापना की 10वीं वर्षगांठ मनाई
    • Let’s Encrypt के साथ मिलकर सार्वजनिक हित के इन्फ्रास्ट्रक्चर प्रोजेक्ट लगातार संचालित किए

वृद्धि और विस्तार

  • मार्च 2016 में 10 लाखवाँ प्रमाणपत्र, सितंबर 2018 में प्रति दिन 10 लाख जारी, और 2020 में कुल 1 अरब जारी का मील का पत्थर हासिल किया
    • 2025 के अंत तक प्रति दिन 1 करोड़ से अधिक प्रमाणपत्र जारी
    • सक्रिय साइटों की संख्या लगभग 1 अरब के करीब
  • जारी किए गए प्रमाणपत्रों की वृद्धि आर्किटेक्चर की स्थिरता और ऑटोमेशन विज़न की सफलता को साबित करती है
    • प्रमाणपत्र जारी करने की मात्रा एक अप्रत्यक्ष सूचक है; मुख्य बात HTTPS अपनाने की दर में सुधार है
    • Firefox आँकड़ों के अनुसार, HTTPS कनेक्शन अनुपात 5 साल में 30% से कम → 80% से अधिक तक बढ़ा
    • अमेरिका में यह स्तर लगभग 95% पर बना हुआ है

तकनीकी विकास और इन्फ्रास्ट्रक्चर सुधार

  • 2016 में Internationalized Domain Names(IDN) समर्थन, 2018 में wildcard certificates, और 2025 में short-lived और IP certificates पेश किए गए
  • 2021 में database server upgrade के जरिए बड़े पैमाने के डेटा प्रोसेसिंग की जरूरतों का सामना किया गया
    • आंतरिक नेटवर्क को gigabit → 25-gigabit Ethernet में बदला गया
  • 2025 में Certificate Transparency log structure improvements के प्रयोग और तैनाती का निर्णय लिया गया
    • निरंतर वृद्धि से निपटने के लिए architectural upgrade आगे बढ़ाया गया

विश्वास ढांचा और मानकीकरण गतिविधियाँ

  • IdenTrust के cross-signing की मदद से शुरुआती सार्वजनिक प्रमाणपत्र जारी करना संभव हुआ
    • इसके बाद अपना root CA certificate बनाया और वितरित किया गया
  • CA/B Forum, IETF, browser root programs आदि के साथ सहयोग कर वेब PKI के विकास में योगदान दिया
  • certificate chain management, key ceremony, documentation जैसे PKI engineering कार्य किए

ऑटोमेशन दर्शन और सामाजिक मूल्य

  • लक्ष्य है वेब PKI का पूर्ण ऑटोमेशन, ताकि साइट ऑपरेटरों को प्रमाणपत्रों के बारे में अलग से सोचना न पड़े
    • ऑटोमेशन जितना सफल होता है, सेवा के ‘स्वाभाविक रूप से मौजूद’ मान लिए जाने का जोखिम भी उतना बढ़ता है
    • लगातार जागरूकता बढ़ाने और समर्थन हासिल करने के महत्व पर ज़ोर दिया गया
  • कम्युनिटी हर दिन करोड़ों प्रमाणपत्रों के उपयोग और स्पॉन्सरशिप भागीदारी के जरिए प्रोजेक्ट का समर्थन करती है
  • Levchin Prize(2022), O’Reilly Open Source Award(2019), IEEE Cybersecurity Award(2025) आदि पुरस्कार प्राप्त किए
  • 2019 के ACM CCS conference paper के माध्यम से प्रोजेक्ट के इतिहास और डिज़ाइन को अकादमिक रूप से दर्ज किया गया

साझेदारियाँ और भविष्य की दृष्टि

  • शुरुआती प्रायोजक Mozilla, EFF, Cisco, Akamai, IdenTrust के समर्थन से शुरुआत हुई
    • खास तौर पर IdenTrust ने cross-signing देकर सार्वजनिक प्रमाणपत्र सेवा को साकार करने में अहम भूमिका निभाई
  • आने वाले 10 वर्षों में वित्तीय, तकनीकी और सूचनात्मक बाधाओं को कम करके अधिक सुरक्षित और privacy-friendly इंटरनेट बनाने का लक्ष्य है
  • Let’s Encrypt, गैर-लाभकारी ISRG का एक प्रोजेक्ट है और donation व sponsorship के जरिए लगातार संचालित होता है

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2025-12-10
Hacker News राय

  • Let's Encrypt की वजह से अब TLS के बिना वेबसाइट की कल्पना करना मुश्किल है
    मेरी पिछली कंपनी के CEO ने कहा था कि “फ्री certificate ग्राहकों को सस्ता लगेगा”, इसलिए उन्होंने इसका इस्तेमाल करने से मना कर दिया था, लेकिन वह सचमुच पूरी तरह बेतुकी सोच थी
    यह दुनिया का सबसे बड़ा certificate authority था, और ग्राहकों ने कभी इस बात की परवाह नहीं की कि certificate किसने जारी किया है
    जिज्ञासा है कि क्या किसी और को Let's Encrypt इस्तेमाल करने पर नकारात्मक feedback मिला है

    • कुछ hosting providers बाहरी certificates के इस्तेमाल को रोकते हैं ताकि वे केवल अपने paid certificates ही बेच सकें
      वे SSH या container access बंद कर देते हैं, जिससे free certificate install करना असंभव हो जाता है, और अपने certificates की कीमतें बेहिसाब बढ़ा देते हैं
      अगर तकनीक न जानने वाले राजनेता इसे समझते, तो यह price-fixing scandal बन जाता
    • 2022 में CEO के नज़रिए से देखें तो EV certificates के खत्म हुए ज़्यादा समय नहीं हुआ था, इसलिए बात कुछ हद तक समझ आती है
      Chrome 77 और Firefox 70 (2019) में EV visualization हट गया था, और उसके बाद भी कुछ लोग इस बदलाव के साथ तालमेल नहीं बैठा पाए
      संबंधित लेख: Extended Validation Certificates Are Really, Really Dead
    • एक बार मैंने Porsche वेबसाइट के expired certificate की सूचना दी थी, और उन्होंने कुछ ही घंटों में उसे Let's Encrypt से बदल दिया
      उस समय मैं सचमुच हैरान था, और मुझे लगता है Let's Encrypt इंटरनेट का SSD जैसा अस्तित्व है — जैसे एक स्तर का upgrade मिल गया हो
    • एक समय ऐसा था जब EV certificates को DV से ज़्यादा भरोसेमंद माना जाता था
      browsers EV certificates के लिए खास संकेत दिखाते थे, लेकिन अब वह दौर खत्म हो चुका है
      renewal process झंझटभरी थी, इसलिए रोज़मर्रा के हिसाब से चीज़ें बेहतर हुई हैं, लेकिन फिर भी कुछ खो जाने का एहसास है
    • लगभग 15 साल पहले EV certificates का sales process में मतलब होता था, लेकिन उसके बाद से किसी ने परवाह नहीं की

  • Let's Encrypt से पहले का TLS सच में बहुत भयानक था
    हर host के लिए पैसे देने पड़ते थे, domain verification हाथ से करना पड़ता था, और हर साल renewals संभालने पड़ते थे
    अब बस एक बार ACME client install करो और काम खत्म, और HTTPS का अनुपात कुछ ही वर्षों में 30% से बढ़कर 80~95% तक पहुंच गया
    असली innovation automation (ACME) और non-profit structure की वजह से संभव हुई
    आगे certificate lifetime 45 दिन तक घटने वाली है, इसलिए manual installation असंभव हो जाएगी
    अभी भी IoT या internal dashboards जैसे क्षेत्रों में automation की कमी है

    • पहले certificates की validity 3 साल होती थी, और 2 साल वाले certificates तो 2018 में ही आए थे
      Let's Encrypt उससे पहले ही short-cycle automation को आगे बढ़ा रहा था
    • पहले 3 साल का free certificate install करके उसे भूल सकते थे, लेकिन अब expired sites अक्सर दिखती हैं, जो असुविधाजनक है
      मुझे लगता है अमेरिकी IT industry ने अच्छे CAs को बाहर कर दिया
    • हमारी कंपनी stack transition के बीच थी, इसलिए हम एक temporary certificate खरीदना चाहते थे, लेकिन दर्जनों wildcard subdomains की वजह से 1 साल के certificate की कीमत 30,000 dollar थी
      इसलिए मैंने खुद एक CA बनाया और उसे internal servers पर install किया, और अंत में हम फिर Let's Encrypt पर लौट आए
      अब यह विश्वास करना मुश्किल है कि ऐसे महंगे certificates का बाजार कभी मौजूद था
    • IoT के क्षेत्र में मुझे लगता है कि Matter protocol में ACME feature जोड़कर hub को अपना CA बनाना अच्छा होगा
      व्यवहारिक रूप से low-cost hardware पर यह मुश्किल होगा, लेकिन सपना तो देख ही रहा हूँ

  • जब मैं 2007~2011 के आसपास system administrator था, तब मैं खुद openssl से CSR बनाता था, GoDaddy से certificate खरीदता था, और उसे हाथ से deploy करता था
    अब सोचता हूँ तो लगता है दुनिया पूरी तरह बदल गई है
    Let's Encrypt इंटरनेट के इतिहास की सबसे बेहतरीन सेवाओं में से एक है

    • काश S/MIME के लिए भी ऐसी कोई service होती
    • वह दौर सचमुच उबाऊ और झंझटभरे कामों की लगातार श्रृंखला था
    • कुछ साल पहले तक मैं यह सब manually करता था, फिर एक दोस्त ने मुझे Let's Encrypt बताया, और वह किसी जादू जैसा लगा

  • Snowden घटना भी TLS के प्रसार का बड़ा कारण थी
    उससे पहले लोगों को लगता था कि TLS केवल उन sites के लिए ज़रूरी है जहां पैसों का लेन-देन होता है, और traffic को आसानी से sniff किया जा सकता था
    IRS के एक investigator ने 2008 के आसपास दिए गए एक talk में कहा था कि illegal casinos पकड़ते समय encryption बिल्कुल भी बाधा नहीं थी

    • लेकिन यह तथ्यों को बाद में तोड़-मरोड़कर पेश करना (retcon) है
      Facebook ने 2011 में TLS अपनाया था, और Google Mail में 2010 से default TLS था
      2010 के आसपास TLS न इस्तेमाल करने वाली sites को security vulnerability के रूप में देखा जाने लगा था
    • वास्तव में 2000 के दशक के उत्तरार्ध से ही ad-injection HTTP की वजह से HTTPS अनिवार्य हो गया था
      NSA से ज़्यादा बड़ा प्रेरक factor advertising revenue की सुरक्षा था

  • यह अच्छा है कि web traffic encryption अब default बन गया है, लेकिन अब CA की मंजूरी के बिना basic functionality इस्तेमाल नहीं की जा सकती, यह बात खटकती है

    • मैं पूछना चाहता हूँ कि “CA की मंजूरी” से आपका मतलब क्या है
      Let's Encrypt सिर्फ domain ownership verify करता है, site की content में दखल नहीं देता
      संबंधित लेख: Phishing and Malware
    • यह नई समस्या नहीं है, बल्कि एक पुरानी structural problem है जिसे Let's Encrypt हल नहीं कर सका
      पूरे stack में ऐसे कई single points of failure हैं
    • DNS भी वस्तुतः एक अनिवार्य हिस्सा है, इसलिए स्थिति मिलती-जुलती ही है
      बड़े certificate authorities या TLDs भी site की प्रकृति के बारे में नहीं पूछते

  • जब Let's Encrypt की घोषणा हुई थी, तब लगा था, “idea तो अच्छा है, लेकिन क्या browsers इसे स्वीकार करेंगे?”
    अब मैं इसे हर self-hosted site पर लगा रहा हूँ, और हमारी कंपनी भी auto-renewal पर जाने वाली है
    पुराने SSL/TLS के दर्द को याद करूँ तो, हर नई site बनाते समय LE certificate लेते हुए अपने आप मुस्कान आ जाती है

  • उम्मीद है Let's Encrypt अपनी स्वतंत्रता बनाए रखे, और Google जैसी बड़ी कंपनी द्वारा अधिग्रहित न हो
    ऐसी दुनिया भयानक होगी जहाँ SSL issuance का दुरुपयोग censorship tool के रूप में होने लगे
    आजकल browsers HTTP sites को लगभग malicious जैसा दिखाते हैं

    • अगर Google को censorship करनी हो तो SSL से ज़्यादा ताकतवर साधन उसके पास हैं, जैसे Safe Browsing blacklist
    • Let's Encrypt एक non-profit organization है, इसलिए इसे सामान्य कंपनियों की तरह acquire नहीं किया जा सकता
      अमेरिकी tax law के तहत non-profit assets को non-profit क्षेत्र में ही रहना होता है, इसलिए किसी बड़ी कंपनी द्वारा इसे बिगाड़ देने का जोखिम नहीं है

  • हर साल मैं donation list में Let's Encrypt को शामिल करता हूँ
    ऐसे दौर में जब सभी browsers HTTPS मांगते हैं, इस service के बिना indie developers के लिए टिके रहना मुश्किल होता
    यह सचमुच बहुत आभारी होने लायक project है

  • पिछले 10 साल शानदार रहे हैं
    आगे issuance infrastructure का decentralization और resilience को मजबूत करना ज़रूरी है
    द्वीपीय इलाकों में इंटरनेट अक्सर कट जाता है, और certificate lifetime छोटी होने पर यह समस्या बन सकती है
    उम्मीद है कि ccTLD registrars के साथ मिलकर स्थानीय issuance systems बनाए जाएंगे

  • मैं 7 साल से Let's Encrypt इस्तेमाल कर रहा हूँ
    इसने blog और personal projects को HTTPS पर चलाना संभव बना दिया, जिससे जीवन बहुत आसान हो गया
    शायद मैं Nextcloud जैसी चीज़ के लिए हर साल 50 dollar नहीं देता, लेकिन security improvement का असर बहुत बड़ा है
    दुनिया को थोड़ा बेहतर बनाने वाले सभी लोगों का धन्यवाद