Let’s encrypt: cos’è e come funziona

Let’s Encrypt è un’autorità di certificazione (CA) che fornisce certificati SSL/TLS gratuiti e automatici per proteggere le comunicazioni su Internet. Fondata nel 2014 e lanciata ufficialmente nel 2016, Let’s Encrypt è un’iniziativa della Internet Security Research Group (ISRG).

Let’s Encrypt è una certificatrice di certificati SSL/TLS gratuita e automatica, creata per rendere più facile l’adozione della crittografia HTTPS (HyperText Transfer Protocol Secure) su Internet. HTTPS è il protocollo sicuro che garantisce che la comunicazione tra il browser di un utente e un server web sia criptata, proteggendo così i dati da intercettazioni e manomissioni.

Cosa offre Let’s Encrypt?

Let’s Encrypt fornisce certificati SSL/TLS che sono:

• Gratuiti: Non c’è bisogno di pagare per ottenere un certificato, il che rende la crittografia sicura accessibile anche per i siti web più piccoli o a basso budget.
• Automatizzati: La gestione dei certificati, inclusa l’emissione, il rinnovo e la revoca, avviene automaticamente tramite il software Certbot o altri client compatibili. Ciò semplifica notevolmente l’amministrazione.
• Affidabili: Let’s Encrypt è una Certification Authority (CA) ufficialmente riconosciuta, quindi i certificati emessi sono accettati dai principali browser web e applicazioni.
• Convalidati tramite dominio (DV): Let’s Encrypt rilascia certificati SSL/TLS basati sulla validazione del dominio (Domain Validation), che significa che viene verificato solo che chi richiede il certificato possieda effettivamente il dominio in questione. Non richiede la verifica dell’identità dell’azienda o del proprietario del sito, come avviene per i certificati più avanzati (OV o EV).

Scopo di Let’s Encrypt

L’obiettivo principale di Let’s Encrypt è rendere HTTPS il default per tutti i siti web. Prima della sua creazione, ottenere un certificato SSL/TLS era spesso costoso, complicato e richiedeva una gestione manuale. Let’s Encrypt ha abbattuto queste barriere, incoraggiando un’adozione su larga scala della crittografia, migliorando così la sicurezza di Internet nel suo complesso.

Come funziona Let’s Encrypt?

1. Richiesta del certificato: Un amministratore di sistema o un web server richiede un certificato SSL/TLS tramite uno dei client compatibili (come Certbot, che è il più popolare).
2. Convalida del dominio: Let’s Encrypt verifica che il richiedente abbia il controllo del dominio per il quale sta richiedendo il certificato, di solito tramite un’operazione automatica di verifica DNS o HTTP.
3. Emissione del certificato: Se la convalida ha successo, Let’s Encrypt emette il certificato SSL/TLS e lo invia al server web.
4. Installazione del certificato: L’amministratore installa il certificato sul server web, consentendo la connessione HTTPS sicura per gli utenti.
5. Rinnovo automatico: I certificati Let’s Encrypt hanno una durata di 90 giorni, ma il rinnovo è completamente automatizzato, quindi il sito rimane protetto senza intervento manuale.

Vantaggi di Let’s Encrypt

• Accessibilità universale: Qualsiasi sito può ottenere un certificato SSL gratuito, senza dover affrontare costi aggiuntivi.
• Sicurezza migliorata: Con HTTPS abilitato, la connessione tra il browser e il server è crittografata, proteggendo i dati degli utenti.
• Semplificazione della gestione: I certificati possono essere rinnovati automaticamente, riducendo il rischio di errori umani e di interruzioni nel servizio.
• Supporto per l’internet aperto: Let’s Encrypt ha contribuito ad aumentare l’adozione di HTTPS, migliorando la privacy e la sicurezza online per gli utenti di tutto il mondo.

Sostenibilità e sostenitori

Let’s Encrypt è supportato da una vasta gamma di organizzazioni, inclusi grandi player tecnologici come Google, Mozilla, Cisco, Facebook, e molti altri. È gestito dalla Internet Security Research Group (ISRG), una no-profit.

Limiti

• Solo convalida di dominio (DV): I certificati Let’s Encrypt sono basati solo sulla validazione del dominio. Se hai bisogno di un certificato convalidato con maggiore verifica (ad esempio, per rappresentare un’organizzazione con più fiducia, come nel caso di certificati EV o OV), dovrai cercare un’altra CA.
• Durata breve dei certificati: I certificati durano solo 90 giorni, ma il rinnovo automatico è una soluzione a questo problema.

In sintesi, Let’s Encrypt ha reso più facile e accessibile per tutti i siti web implementare una connessione sicura, aiutando a rendere Internet più sicuro e protetto.

Storia di Let’s Encrypt

Che HTTPS sia diventato uno standard per il web, seguendo l’iniziativa promossa da Google HTTPS Everywhere, ormai non dovrebbe essere più un mistero: con la diffusione dei certificati gratuiti Let’s Encrypt, infatti, il 2019 è stato un anno che ha visto arrivare a quota 80 milioni i certificati attivi utilizzati, con circa 70 milioni di domini diversi che ne fanno uso. Non tutti hanno aderito, per la verità : molti blogger continuano a considerare la questione un “complotto” ordito da Google non si sa bene per quale motivo, ma è un dato di fatto che dietro ogni sciocca dietrologia ci sia un problema reale (molti blogger e tanti addetti ai lavori non sono in grado configurare SSL sul proprio sito).

A livello globale, questo ha comportato un aumento dal 67% al 79% di pagine web che vengono gestite e servite agli utenti in modo criptato, tutto questo grazie all’enorme contributo fornito dai servizi d hosting, che ormai danno Let’s Encrypt nella totalità  dei casi (dalle VPS agli hosting condivisi). Con 6 persone specializzate che si occupano interamente della sua gestione, 70 unità  di rack e 2 datacenter dedicati dotati di server e firewall, Let’s Encrypt è sicuramente una delle realtà  più importanti per il web come lo conosciamo oggi, e continuerà  certamente ad esserlo per molto tempo.

Per chi non lo sapesse, Let’s Encript non fa altro che fornire supporto HTTPS gratuito ai siti, il tutto in modo trasparente e completamente gratuito (si parla di circa 2 miliardi di richieste al giorno servite). I certificati HTTPS, infatti, sono storicamente a pagamento sempre e comunque, e questo tendeva a renderli poco usabili ed accessibili, specie per il grande pubblico di blogger e piccole aziende. L’iniziativa in questione ha reso possibile per molti siti la possibilità  di passare in HTTPS con un certificato DV (Domain Validated) mediante la tecnologia Automated Certificate Management Environment (ACME); cosa ancora più importante, i certificati di Let’s Encrypt si auto-rinnovano, per cui non c’è il rischio per i siti web di ritrovarsi con il certificato scaduto. Let’s Encrypt rappresenta una certification authority affidabile, sicura e free che rende possibile la creazione automatizzata di certificati (per l’utente comporta un semplice click di attivazione, il più delle volte). Per il 2018 è previsto il supporto dei certificati con wildcard, una cosa di cui effettivamente molti potrebbero sentire il bisogno; un certificato wildcard, infatti, permette di rendere sicuro qualsiasi tipo e numero di sottodomini di un dominio principale, sfruttando un singolo certificato per ognuno di essi, e velocizzando cosଠmanutenzione e gestione del servizio. Il lancio del servizio è previsto per il 27 febbraio di quest’anno.

In seguito saranno introdotti certificati cosiddetti intermedi, con crittografia ellittica (Elliptic Curve Digital Signature Algorithm, ECDSA) una variante molto più robusta e sicura del classico metodo basato su RSA; a livello pratico, questo comporta una cosa importante come la possibilità  per gli utenti di firmare il propri certificati – su questo punto non è chiaro se saranno gli hosting che gestiscono a poter firmare o direttamente gli utenti, ma sembra più probabile la seconda da quello che si capisce.

Sponsorizzato e pienamente supportati da colossi del web come Mozilla, Akamai, OVH, Cisco, Google Chrome e Electronic Frontier Foundation, Let’s Encrypt ha grandi piani per il 2019: con un budget crescente di finanziatori a disposizione, infatti, afferma di riuscire a garantire la copertura del servizio ancora per molto tempo, contribuendo ad un web più sicuro, veloce (HTTP/2) e soprattutto a costo zero per utenti e blogger che decideranno di farne uso.

Caratteristiche principali di Let’s Encrypt:

1. Gratuito: Non vi è alcun costo per ottenere i certificati SSL/TLS da Let’s Encrypt.
2. Automatizzato: La configurazione e il rinnovo dei certificati possono essere completamente automatizzati tramite il protocollo ACME (Automatic Certificate Management Environment).
3. Sicurezza: I certificati emessi da Let’s Encrypt sono standard e offrono lo stesso livello di sicurezza di quelli emessi da altre autorità di certificazione a pagamento.
4. Facilità di uso: Let’s Encrypt mira a rendere la configurazione HTTPS semplice per chiunque. Esistono vari strumenti e client che semplificano il processo di ottenimento e rinnovo dei certificati.
5. Adozione diffusa: Let’s Encrypt ha contribuito significativamente all’aumento dell’adozione di HTTPS, rendendo il web più sicuro.

Come funziona Let’s Encrypt:

1. Richiesta del certificato: Un client ACME, come Certbot, invia una richiesta di certificato a Let’s Encrypt.
2. Validazione del dominio: Let’s Encrypt verifica che il richiedente abbia il controllo del dominio per il quale viene richiesto il certificato. Questo può essere fatto tramite metodi come HTTP-01 (file di prova su server web) o DNS-01 (record DNS).
3. Emissione del certificato: Una volta verificato il controllo del dominio, Let’s Encrypt emette il certificato SSL/TLS.
4. Rinnovo automatico: I certificati Let’s Encrypt sono validi per 90 giorni, ma possono essere rinnovati automaticamente dal client ACME.

Vantaggi di Let’s Encrypt:

• Promuove la sicurezza: L’uso diffuso di certificati SSL/TLS riduce i rischi di attacchi come il man-in-the-middle.
• Supporto alla privacy: HTTPS protegge la privacy degli utenti crittografando le comunicazioni tra il browser e il server.
• Facilitazione per piccoli siti: I costi e la complessità ridotti aiutano anche i piccoli siti web a implementare HTTPS.

Let’s Encrypt ha avuto un impatto significativo sulla sicurezza del web, rendendo la crittografia accessibile e semplice per tutti.