La crittografia del traffico dati sta diventando sempre più standard online. Dal momento che anche noi abbiamo integrato Let’S Encrypt ha senso esaminare più da vicino questo progetto. Let’s Encrypt è un’autorità di certificazione relativamente giovane (la beta è iniziata nel 2015) per i certificati SSL, altrimenti noti come autorità di certificazione (CA).
L’iniziativa ha creato un processo automatizzato per l’emissione di certificati SSL.
Questi mostrano agli utenti dei siti che si trovano su un sito web “reale” e che il traffico di dati tra il browser e i server web è crittografato.
Chiunque abbia un nome di dominio può utilizzare Let’s Encrypt.
Inoltre, i certificati Let us Encrypt sono gratuiti.
Caratteristiche
I software che girano sul server Web possono ottenere certificati utilizzando Let’S Encrypt, sono sicuri da usare e rinnovano automaticamente i certificati.
Let’s Encrypt fornisce la piattaforma per una sicurezza TLS di alto livello, sia sul sito web dell’autorità di certificazione che sulle società operative, aiutandole a proteggere i loro server.
Tutti i certificati emessi e revocati sono resi pubblici.
Il protocollo di emissione e rinnovo automatico è pubblicato come aperto ad altri per essere adattato.
Proprio come i protocolli Internet di base, è uno sforzo cooperativo a beneficio della comunità.
Let’s Encrypt è un’autorità di certificazione aperta, automatica e gratuita.
Fornisce gratuitamente i certificati digitali necessari per implementare il protocollo HTTPS (SSL/TLS) sul vostro sito.
Let’S Encrypt è gratuito
Per farla breve: sì, sia i certificati che il software necessario non costano nulla.
Per molti, però, la domanda non si basa solo su una motivazione economica, ma anche sul perché Let’S Encrypt sia gratuito.
Quindi, perché un prodotto per il quale altre organizzazioni avevano pagato in precedenza viene improvvisamente offerto gratuitamente.
Let’s Encrypt è un’organizzazione no-profit e deve a malapena pagare il personale.
Inoltre, molti processi sono automatizzati.
Questo elimina una parte significativa dell’onere finanziario.
Anche l’hardware necessario è coperto in parte significativa grazie alla collaborazione con la Linux Foundation.
Tutti gli altri costi sono coperti da sponsorizzazioni e donazioni.
Tutti sono invitati a donare qualsiasi somma di denaro all’organizzazione tramite Paypal.
Let’s Encrypt vuole fare dell’HTTPS il nuovo standard per il web e dare a tutti gli utenti del mondo l’opportunità di criptare gratuitamente i propri siti web.
In questo caso, non sono solo le considerazioni economiche a fare la loro parte, ma anche le motivazioni degli organizzatori.
Lo standard Let’S Encrypt
Da un lato, c’è un argomento altruistico: HTTPS deve diventare uno standard per Internet e tutti i gestori di siti in tutto il mondo devono poter adattare facilmente e liberamente i loro siti web a questo standard.
È ora che le comunicazioni crittografate diventino l’impostazione predefinita sul Web e Let’S Encrypt contribuirà a realizzare questo obiettivo.
La seconda grande motivazione è il desiderio di costruire l’uguaglianza online.
Dopo tutto, avere un certificato SSL è diventato un criterio di classificazione per Google.
E se alcuni siti web non possono permettersi i certificati, o non possono ottenerli, ciò esclude quei siti – e quindi alcuni individui e i loro progetti WordPress – dal coinvolgimento online.
Offriamo certificati gratuiti, poiché il costo sarebbe un’esclusione per le persone.
I nostri certificati sono disponibili in tutti i Paesi del mondo, perché una rete sicura è per tutti.
Le idee di equità e uguaglianza sembrano quindi essere gli elementi centrali dell’impegno di Let’s Encrypts.
Oltre agli sponsor ufficiali, che includono nomi importanti come Mozilla, Cisco, Chrome e Facebook, tra i sostenitori di Let’s Encrypts ci sono anche aziende del settore WordPress.
Ad esempio, Automattic o WPBearner.
Queste aziende e organizzazioni, in particolare, sono l’abbinamento ideale per Let’s Encrypt a causa della loro visione specifica di WordPress sul web e delle loro motivazioni.
Automatic
Automattic, per inciso, è uno sponsor d’argento, il che significa una quota annuale di 50.000 dollari.
Automattic si è distinta in particolare per l’integrazione predefinita dei certificati Let’S Encrypt per i siti ospitati sul sito di hosting WordPress.com.
Let’s Encrypt è un servizio di certificazione vero e proprio, cioè la struttura organizzativa complessiva è molto più ampia. L’organizzazione madre di Let us Encrypt è l’Internet Security Research Group (ISRG), con sede a San Francisco.
Il consiglio di amministrazione di questa organizzazione no-profit comprende accademici, rappresentanti di aziende e di fondazioni e altre organizzazioni no-profit.
Almeno altre due istituzioni sono coinvolte in modo significativo in Let’s Encrypt.
Altre istituzioni di Let’S Encrypt
In primo luogo, c’è la Electronic Frontier Foundation (EFF), che da maggio 2016 supervisiona Certbot, un software di certificazione utilizzato per generare i certificati Let’s Encrypt.
In secondo luogo, c’è la Linux Foundation, che fornisce a Let us Encrypt l’infrastruttura tecnologica attraverso il suo Collaborative Projects Program.
In totale, diversi team di organizzazioni non profit sono responsabili di Let’S Encrypt e della relativa infrastruttura.
I tre maggiori punti di forza di Let’s Encrypt sono, ovviamente, il fatto che i certificati sono gratuiti, che Let us Encrypt e il software che richiede sono continuamente sviluppati e migliorati e che l’impostazione dei certificati è relativamente semplice.
Abbiamo discusso gli aspetti dei certificati gratuiti. Inoltre, Let us Encrypt viene costantemente sviluppato.
Infine, i certificati sono anche abbastanza semplici da configurare per chiunque abbia le competenze e i diritti di accesso adeguati.
Anche l’apprendimento dei passaggi necessari non è necessariamente difficile. È sufficiente utilizzare Certbot e aggiungere i moduli necessari al proprio server web.
Certificati
I certificati possono quindi essere configurati e rinnovati.
Attualmente, un intervallo di certificati è abbastanza gestibile utilizzando un solo certificato.
Questo non cambierà in futuro, poiché la verifica avanzata richiesta dai certificati OV o EV non può essere automatizzata, oltre a essere costosa.
Tuttavia, è proprio l’automazione che rende i certificati Let’S Encrypt gratuiti.
Al momento è quindi difficile conciliare la verifica avanzata con le idee di base, anche se esistono idee iniziali su come la verifica potrebbe essere delegata alla comunità, ad esempio.
A nostra conoscenza, tuttavia, i piani per l’implementazione di convalide estese non sono ancora andati avanti.
Sebbene i certificati non siano difficili da integrare per i professionisti, i non professionisti o per coloro che hanno solo un accesso limitato ai loro server Web, potrebbe essere necessario dedicare del tempo eccessivo alla configurazione del server per Certbot, all’ordinazione dei certificati, alla loro integrazione e al loro regolare rinnovo.
In particolare, la durata dei certificati SSL Let us Encrypt è significativamente più breve di quella dei certificati “normali”. I certificati Let’s Encrypt devono essere rinnovati ogni 90 giorni.
Un certificato SSL classico, invece, è valido per 12, 24 o addirittura 36 mesi e in genere non richiede alcuna manutenzione tecnica in questo lasso di tempo.
Assistenza Let’S Encrypt
In caso di problemi, siete completamente soli e non potete usufruire dei servizi di assistenza di Let’S Encrypt. Tuttavia, esiste un ampio forum di supporto della comunità.
All’inizio, anche la compatibilità dei certificati SSL gratuiti con i vari browser era un problema.
Tuttavia, a questo punto tutti i principali browser sono in grado di gestire i certificati.
Ci sono solo problemi di software legacy.
Quindi, a meno che non abbiate le competenze necessarie, il costo dell’integrazione di un certificato per conto vostro, compresi i test, la risoluzione dei problemi e la correzione, è notevolmente superiore all’acquisto di un certificato SSL.
Tuttavia, anche questa è una preoccupazione più che altro teorica.
Molti host, infatti, supportano l’installazione di certificati con un semplice clic o forniscono certificati di base gratuiti da altre autorità di certificazione.
Altri aspetti di Let’S Encrypt
Secondo Let us Encrypt, l’azienda spera di rendere Internet più sicuro e veloce, in particolare per gli utenti che prima non avevano accesso ai certificati SSL.
Per i gestori di siti professionali, Let’S Encrypt offre innanzitutto vantaggi in termini di costi, fiducia e SEO, anche se solo per la verifica del dominio.
Se le convalide avanzate saranno offerte anche nel prossimo futuro è discutibile — diciamo che i problemi di automazione non possono essere risolti.
Tuttavia, i certificati non si limitano a offrire una crittografia gratuita e, per alcuni, una visione più approfondita della sicurezza di Internet, ma supportano indirettamente i migliori obiettivi di Let’s Encrypt.
Abbiamo integrato Let us Encrypt in gran parte perché credevamo nei benefici del progetto.
Anche se i certificati sono gratuiti, il loro utilizzo non è uno spreco, ma un contributo alla creazione di un nuovo standard di sicurezza in Internet.
