Let's Encrypt emitió mil millones de certificados

El 27 de febrero de 2020, una autoridad de certificación gratuita Let's Encrypt emitió un certificado número mil millones .

En un comunicado de prensa festivo, los representantes del proyecto recuerdan que el aniversario anterior de 100 millones de certificados emitidos se celebró en junio de 2017 . Entonces, la proporción de tráfico HTTPS en Internet fue del 58% (en los EE. UU. - 64%). Durante dos años y medio, las cifras han crecido significativamente: “¡Hoy, el 81% de las páginas de descarga en todo el mundo usan HTTPS, y en los Estados Unidos estamos en el 91%! - Los chicos del proyecto se alegran. - Un logro increíble. Este es un nivel mucho más alto de privacidad y seguridad para todos ”.

Let's Encrypt jugó un papel muy importante para hacer de los certificados HTTPS un estándar utilitario y un cifrado confiable del tráfico, el estándar perfecto en Internet.

Las pruebas beta de la innovadora autoridad de certificación Let's Encrypt comenzaron en diciembre de 2015. Una característica única del nuevo centro fue que el proceso de emisión de certificados fue inicialmente completamente automatizado.

La configuración automática de HTTPS en el servidor ocurre en dos etapas. En la primera etapa, el agente notifica a la autoridad de certificación de los derechos de administrador del servidor sobre el nombre de dominio. Por ejemplo, una verificación puede incluir la creación de un subdominio específico o la instalación de un recurso HTTP con un URI específico dentro del dominio.



Let's Encrypt identifica el servidor web con el agente que ejecuta la clave pública. El agente genera las claves públicas y privadas antes de la primera conexión con una autoridad de certificación. Durante la verificación automática, el agente realiza una serie de pruebas: por ejemplo, firma la contraseña de un solo uso con la clave pública y presenta un recurso HTTP con un URI específico. Si la firma digital es correcta y se pasan todas las pruebas, al agente se le otorgan derechos para administrar certificados para el dominio.



En un segundo paso, un agente puede solicitar, renovar y revocar certificados. Para la emisión automática de certificados, se utiliza un protocolo de autenticación de desafío-respuesta (llamada-respuesta, llamada-respuesta) llamado Entorno de administración de certificados automatizado (ACME). Todas las manipulaciones de certificados se realizan sin detener el servidor web utilizando el cliente Certbot ACME . Es fácil de usar, funciona en la mayoría de los sistemas operativos y está bien documentado. Hay un modo experto con un conjunto ampliado de configuraciones. Además de Certbot, hay muchos otros clientes de ACME .

El importante papel de Let's Encrypt

Let's Encrypt ha revolucionado un mercado donde dominaban las autoridades de certificación comercial. Ahora están prácticamente fuera del negocio de emitir certificados DV (certificados de validación de dominio, validación de dominio), aunque continúan vendiendo certificados de confirmación de organización (validación de organización, OV) y certificados de alta confiabilidad (validación extendida, EV), que Let's Encrypt no emite, porque no pueden ser automatizados. Sin embargo, este es un producto de nicho, y los certificados Let's Encrypt gratuitos reinan en el mercado masivo.

Let's Encrypt hizo que la reemisión automática de certificados sea el estándar. A pesar de su corta vida útil (90 días), el procedimiento automático elimina el "factor humano", que tradicionalmente representa la principal vulnerabilidad de seguridad. Los administradores de dominio a menudo simplemente se olvidan de renovar sus certificados, por lo que los servicios fallan. El último incidente de este tipo ocurrió con Microsoft Teams. El 3 de febrero de 2020, este servicio de colaboración se desconectó debido a un certificado caducado .

El reemplazo automático de certificados a través de ACME elimina la posibilidad de tales incidentes.

Aunque el proyecto Let's Encrypt sirve a la mitad de Internet, es una pequeña organización sin fines de lucro en el mundo físico: "En los últimos dos años y medio, nuestra organización ha crecido, ¡pero no tanto! Escriben. - En junio de 2017, brindamos servicios a cerca de 46 millones de sitios web con 11 empleados a tiempo completo y con un presupuesto anual de $ 2.61 millones. Hoy atendemos a casi 192 millones de sitios web con 13 empleados a tiempo completo y un presupuesto anual de aproximadamente $ 3.35 millones. Esto significa que servimos más de cuatro veces más sitios con solo dos empleados adicionales y un aumento del presupuesto del 28 por ciento ”.

El apoyo al proyecto proviene de donaciones y patrocinios .

Hasta la fecha, HTTPS se ha convertido en el estándar de facto en Internet. Desde el año pasado, los principales navegadores han advertido a los usuarios sobre los peligros de conectarse a sitios que no cifran el tráfico a través de HTTPS. El mérito de Let's Encrypt es tal cambio en el panorama de seguridad.

Para todo lo demás, Let's Encrypt revivió literalmente la infraestructura de los servidores XMPP públicos . Ahora Jabber trabaja con un cifrado seguro tanto a nivel de cliente como de servidor, y la mayoría absoluta de los certificados fueron emitidos por Let's Encrypt.



"Como comunidad, hemos hecho cosas increíbles para proteger a las personas en Internet", dijo el comunicado de prensa . "La emisión de mil millones de certificados es una confirmación de todo el progreso que hemos realizado como comunidad".