Kiedy wpisujesz adres strony zaczynający się od HTTPS, twoja przeglądarka sprawdza certyfikat SSL tej witryny. Jeśli certyfikat jest ważny, połączenie jest szyfrowane. Jeśli jest nieważny, przeglądarka pokazuje ostrzeżenie i blokujesz dostęp. Dziewięćdziesiąt procent szans, że certyfikat, który właśnie sprawdziła, wydała jedna organizacja: Let’s Encrypt, estadounidense non-profit z Kalifornii. Jeden DDoS. Jedna decyzja rządu USA. Jedna awaria sprzętowa. I 90% internetu staje się niedostępne lub niezaufane.
Czym jest Let’s Encrypt i dlaczego zdominowało świat SSL?
Let’s Encrypt, czyli Let’s Encrypt Authority X3 to certyfikat Authority prowadzony przez Internet Security Research Group (ISRG) – organizację non-profit z San Francisco, wspieraną przez Google, Mozilla, Cisco, Facebook i inne firmy technologiczne. Jej główna oferta to darmowe, automatycznie odnawiane certyfikaty SSL/TLS przez protokół ACME.
Przed Let’s Encrypt certyfikat SSL kosztował od $10 do kilkuset dolarów rocznie, a jego instalacja wymagała ręcznej konfiguracji. Każdy mały blog, sklep internetowy czy aplikacja SaaS płaciła co roku za podstawowe szyfrowanie. Let’s Encrypt to zmieniło: certyfikat jest darmowy, a odnowienie automatyczne. W efekcie adopcja HTTPS wzrosła gwałtownie z ok. 40% ruchu internetowego w 2016 r. do ponad 90% dziś.
To jest ogromny sukces infrastruktury internetowej. I jednocześnie ogromne ryzyko koncentracji.
Cztery scenariusze, które mogą zatrzymać HTTPS
Badacze bezpieczeństwa wskazują cztery kategorie ryzyka, które wcześniej były teoretyczne, a dziś stają się bardziej realne.
Atak DDoS na serwery Let’s Encrypt. Wydawanie 2.5 miliona certyfikatów dziennie wymaga infrastruktury serwerowej skupionej w kilku centrach danych w Kalifornii. Skoordynowany atak na nie nie blokuje istniejących certyfikatów (te działają do momentu wygaśnięcia), lecz uniemożliwia wydawanie nowych i automatyczne odnawianie. Strony z certyfikatami wygasającymi w ciągu 90 dni (tyle trwa ważność certyfikatu Let’s Encrypt) zaczną wyświetlać błędy dla użytkowników.
Decyzja polityczna lub prawna. Na mocy amerykańskiej ustawy CLOUD Act rząd USA może zmusić Let’s Encrypt do współpracy, w tym do unieważnienia certyfikatów konkretnych podmiotów. W ekstremalnym scenariuszu – masowa rewokacja certyfikatów domen z wybranego kraju lub branży. Przeglądarka odrzuca unieważniony certyfikat dokładnie tak samo jak wygasły.
Awaria sprzętowa lub błąd oprogramowania. Systemy ACME zależą od sprawności serwerów ISRG. Historycznie zdarzały się krótkie przestoje. Przy skali 90% rynku nawet godzinna awaria to miliony stron niedostępnych przez przeglądarki pokazujące błąd certyfikatu.
Kompromitacja klucza root. To najbardziej katastrofalny scenariusz: jeśli klucz root CA Let’s Encrypt zostałby skompromitowany, przeglądarki musiałyby usunąć Let’s Encrypt z list zaufanych certyfikatorów. Skutek to masowe błędy SSL na 90% internetu do momentu migracji na inne CA.
Dla bezpieczeństwa serwerów MCP i agentów AI ta koncentracja ma dodatkowy wymiar: automatyzacje korzystające z HTTPS endpoints są tak samo narażone jak zwykłe strony WWW.
Kurs n8n 2.0 · Kodożercy
Automatyzacja to dziś jedna z najbardziej poszukiwanych umiejętności
Firmy szukają ludzi którzy łączą procesy z narzędziami. Kurs n8n 2.0 na Kodożercach da Ci praktyczne umiejętności – webhooki, API, automatyczne przepływy danych – które możesz pokazać już jutro.
Zobacz program kursu →
Alternatywy i co branża robi z tym problemem
Dyskusja o koncentracji infrastruktury SSL nie jest nowa, jednak nabiera tempa w kontekście rosnącego napięcia geopolitycznego. Kilka inicjatyw próbuje zdywersyfikować rynek CA:
ZeroSSL to europejski odpowiednik Let’s Encrypt oferujący darmowe certyfikaty przez protokół ACME. Działa na zbliżonych zasadach, a jego adopcja rośnie wolno, lecz systematycznie.
Buypass Go SSL to norweski dostawca darmowych certyfikatów obsługujący ACME. Mała skala, lecz geograficznie i organizacyjnie niezależny od USA.
Google Trust Services i DigiCert to certyfikatowi płatni i bezpłatni dostawcy, którzy w przypadku awarii Let’s Encrypt mogliby wchłonąć część ruchu, jednak ich automatyzacja i ceny nie dorównują Let’s Encrypt przy małych projektach.
Problem nie leży w istnieniu alternatyw, lecz w tym, że domyślna konfiguracja większości narzędzi (Certbot, nginx-certbot, Traefik, n8n na VPS) używa Let’s Encrypt. Zmiana wymagałaby świadomej decyzji administratora i aktualizacji konfiguracji.
Co to oznacza dla twoich automatyzacji i n8n na VPS?
Jeśli prowadzisz instancję n8n na własnym serwerze, prawie na pewno używasz Let’s Encrypt do certyfikatu HTTPS. To dobra decyzja przy normalnej pracy. Natomiast warto wiedzieć, co zrobić w awaryjnym scenariuszu.
Dywersyfikacja CA to prosta zmiana w konfiguracji Certbota: zamiast domyślnego Let’s Encrypt możesz użyć ZeroSSL lub innego dostawcy ACME. Nie wymaga zakupu certyfikatu, tylko zmiany parametru --server w certbocie. Można też skonfigurować dwa niezależne certyfikaty od różnych CA i przełączać się między nimi automatycznie.
Dla produktywnych środowisk automatyzacji warto też dodać monitoring certyfikatów. Alert 30 dni przed wygaśnięciem certyfikatu daje czas na reakcję, nawet jeśli automatyczne odnawianie zawiedzie.
FAQ – Najczęstsze pytania o Let’s Encrypt i bezpieczeństwo SSL
Czy Let’s Encrypt może unieważnić mój certyfikat bez powodu?
Let’s Encrypt może unieważnić certyfikat, jeśli stwierdzi naruszenie zasad (np. phishing, malware). Może też być zmuszony do działania przez organy prawne USA. Normalnie to nie dotyczy zwykłych projektów, jednak ryzyko geopolityczne dla podmiotów z określonych krajów jest realne.
Co się stanie z moją stroną, jeśli Let’s Encrypt padnie?
Istniejący certyfikat pozostaje ważny do daty wygaśnięcia (max 90 dni). Jeśli w tym czasie nie możesz go odnowić, przeglądarka zacznie pokazywać ostrzeżenia SSL. Strona działa, lecz użytkownicy zobaczą czerwony ekran z ostrzeżeniem.
Jak sprawdzić, który CA wystawił certyfikat mojej strony?
W przeglądarce kliknij ikonę kłódki przy adresie URL, następnie “Certyfikat”. W polu “Wystawiony przez” zobaczysz nazwę CA. Dla Let’s Encrypt będzie to “Let’s Encrypt” lub “R3”.
Jak zmienić dostawcę certyfikatów SSL bez przestoju?
Przy użyciu Certbota wystarczy dodać parametr --server wskazujący na ACME endpoint alternatywnego CA (np. ZeroSSL). Certbot wygeneruje nowy certyfikat, który zastąpi poprzedni. Nginx lub Apache automatycznie załaduje nowy plik przy kolejnym odnawianiu.
Podsumowanie
Let’s Encrypt zrewolucjonizowało dostępność SSL i przyspieszyło adopcję HTTPS na całym świecie. Jednak 90% uzależnienie internetu od jednego non-profit z Kalifornii tworzy systemowe ryzyko: atak, decyzja prawna lub awaria może dotknąć większości szyfrowanego ruchu jednocześnie. Dla administratorów automatyzacji i n8n na VPS warto dziś podjąć świadomą decyzję: dywersyfikacja CA jest prostą zmianą konfiguracji, która może uratować dostępność usług w scenariuszu, który jeszcze rok temu wydawał się czysto teoretyczny.
Newsletter · DevstockAcademy & Kodożercy
Bądź na bieżąco ze światem IT, AI i automatyzacji
Co wtorek: newsy z branży, praktyczne tipy i narzędzia które warto znać. Zero spamu.
