У грудні 2015 року Mozilla, EFF і кілька інших організацій запустили Let's Encrypt — безкоштовний центр сертифікації з API. До нього SSL-сертифікат коштував $50–500 на рік. До 2020-го понад 90% веб-трафіку перейшло на HTTPS.
До 2015-го отримати TLS-сертифікат означало пройти 5–10 кроків через комерційний центр сертифікації — Verisign, Symantec, Comodo, GoDaddy. Ціна — від $50 до $500 на рік за один домен, плюс ручна процедура продовження. Малі сайти, блоги, особисті проєкти просто не платили цих грошей і працювали по HTTP.
Це створювало парадоксальну ситуацію: коли користувач заходив у відкриту Wi-Fi мережу в кафе, його паролі, кукі і листування могли перехоплювати усі поруч. Сноуденівські викриття 2013-го показали, що це робиться у промислових масштабах. EFF, Mozilla, академічна спільнота вирішили: треба зробити TLS дешевим до нуля.
3 грудня 2015-го стартував публічний бета-режим Let’s Encrypt — безкоштовного центру сертифікації, що видає 90-денні сертифікати через автоматизований ACME-протокол. Тепер certbot --apache міг налаштувати HTTPS за дві секунди. Уже за 6 місяців CA видав 5 млн сертифікатів. До листопада 2024-го — понад 4 мільярди активних сертифікатів на ~440 млн доменів.
Браузерна політика підтягнулась за CA: Chrome (з 2017-го) і Firefox (з 2018-го) почали відкрито позначати HTTP-сторінки як «not secure». Google підняв HTTPS-сторінки у видачі. До 2020-го понад 90% веб-трафіку у світі перейшло на шифровані з’єднання — у 2014-му їх було лише ~30%.
«Ми думали, що дамо світу інструмент. Виявилось, ми переписали правила безпеки інтернету», — Джош Аас, виконавчий директор Internet Security Research Group (батьківського проєкту Let’s Encrypt).
Надішли постійне посилання на цей факт.