Let’s Encrypt, certificati SSL gratuiti per tutti

Let’s Encrypt è la certificate authority che, a partire dall’estate del 2015, emetterà certificati SSL/TLS gratuiti per attivare il protocollo HTTPS.

Oggi ci sono ancora molti siti che usano il protocollo HTTP, considerato ormai poco sicuro e facilmente vulnerabile agli attacchi informatici. Il protocollo HTTPS non è perfetto, ma comunque garantisce una maggiore protezione durante la navigazione. Dato che la transizione dal primo al secondo viene ostacolato dalla burocrazia e dai costi elevati, EFF, Mozilla, Cisco, Akamai, IdenTrust e i ricercatori dell’Università del Michigan hanno creato Let’s Encrypt, una Certificate Authority (CA) che rilascerà i certificati SSL/TLS in forma completamente gratuita.

Che prima del doppio slash si usi abitualmente “http“, ma che in realtà “https” sia più sicuro, è cosa nota ormai a molti. Tuttavia, nonostante tale premessa, la strada che porta alla conversione da http a https è estremamente lenta poiché troppi ostacoli si frappongono tra il principio e la realizzazione. Per questo motivo nomi quali Mozilla ed Electronic Frontier Foundation hanno deciso che è venuto il momento di dare una svolta a questa dinamica, esortando il mondo del Web ad intraprendere la svolta decisiva: “let’s encrypt”, perché quella “s” finale sulla barra degli indirizzi può fare la differenza.

Un sito HTTP non usa la crittografia per il traffico in entrata e in uscita, quindi i cybercriminali possono accedere agli account degli utenti, rubare dati sensibili (identità, password, numeri delle carte di credito, ecc.) o creare pagine con codice infetto. I governi possono invece intercettare le comunicazioni o censurare determinati argomenti. L’obiettivo dell’iniziativa Let’s Encrypt è convincere i gestori dei siti ad usare il protocollo HTTPS. A partire dall’estate del 2015, la nuova CA distribuirà gratuitamente i certificati necessari per criptare le connessioni e verificare l’autenticità dei siti, proteggendo così le informazioni personali degli utenti.

Gli ostacoli principali all’uso di HTTPS sono la complessità, la burocrazia e i costi. Secondo l’indagine della EFF, uno sviluppatore web impiega fino a tre ore per attivare la crittografia. Con Let’s Encrypt questo tempo si ridurrà a 30 secondi. In alcuni casi, a causa di errate configurazioni, il sito visualizza messaggi di errore. Spesso questi problemi sono legati alle lunghe e contorte procedure burocratiche.

Let’s Encrypt (una cui versione per developer è già a disposizione) si occuperà dell’emissione, del rinnovo e della revoca dei certificati. Verranno utilizzate diverse tecnologie per la verifica dei domini, tra cui il protocollo ACME sviluppato dalla stessa EFF. Il codice sorgente sarà, ovviamente, open source.

Ti potrebbe interessare