Let’s Encrypt, certificati SSL gratuiti per tutti

Oggi ci sono ancora molti siti che usano il protocollo HTTP, considerato ormai poco sicuro e facilmente vulnerabile agli attacchi informatici. Il protocollo HTTPS non è perfetto, ma comunque garantisce una maggiore protezione durante la navigazione. Dato che la transizione dal primo al secondo viene ostacolato dalla burocrazia e dai costi elevati, EFF, Mozilla, Cisco, Akamai, IdenTrust e i ricercatori dell’Università del Michigan hanno creato Let’s Encrypt, una Certificate Authority (CA) che rilascerà i certificati SSL/TLS in forma completamente gratuita.

Che prima del doppio slash si usi abitualmente “http“, ma che in realtà “https” sia più sicuro, è cosa nota ormai a molti. Tuttavia, nonostante tale premessa, la strada che porta alla conversione da http a https è estremamente lenta poiché troppi ostacoli si frappongono tra il principio e la realizzazione. Per questo motivo nomi quali Mozilla ed Electronic Frontier Foundation hanno deciso che è venuto il momento di dare una svolta a questa dinamica, esortando il mondo del Web ad intraprendere la svolta decisiva: “let’s encrypt”, perché quella “s” finale sulla barra degli indirizzi può fare la differenza.

Un sito HTTP non usa la crittografia per il traffico in entrata e in uscita, quindi i cybercriminali possono accedere agli account degli utenti, rubare dati sensibili (identità, password, numeri delle carte di credito, ecc.) o creare pagine con codice infetto. I governi possono invece intercettare le comunicazioni o censurare determinati argomenti. L’obiettivo dell’iniziativa Let’s Encrypt è convincere i gestori dei siti ad usare il protocollo HTTPS. A partire dall’estate del 2015, la nuova CA distribuirà gratuitamente i certificati necessari per criptare le connessioni e verificare l’autenticità dei siti, proteggendo così le informazioni personali degli utenti.

Gli ostacoli principali all’uso di HTTPS sono la complessità, la burocrazia e i costi. Secondo l’indagine della EFF, uno sviluppatore web impiega fino a tre ore per attivare la crittografia. Con Let’s Encrypt questo tempo si ridurrà a 30 secondi. In alcuni casi, a causa di errate configurazioni, il sito visualizza messaggi di errore. Spesso questi problemi sono legati alle lunghe e contorte procedure burocratiche.

Let’s Encrypt (una cui versione per developer è già a disposizione) si occuperà dell’emissione, del rinnovo e della revoca dei certificati. Verranno utilizzate diverse tecnologie per la verifica dei domini, tra cui il protocollo ACME sviluppato dalla stessa EFF. Il codice sorgente sarà, ovviamente, open source.