Clicky

En los últimos 4 años Let's Encrypt ha emitido mil millones de certificados SSL gratis

certificado Let's Encrypt

HTTPS es el medio predeterminado de comunicación segura en Internet

Let's Encrypt, una autoridad de firma de certificados (CA) gratuita, automatizada y abierta del grupo sin fines de lucro Internet Security Research Group (ISRG), ha dicho que ha emitido mil millones de certificados desde su lanzamiento en 2015.

La CA emitió su primer certificado en septiembre de 2015, antes de llegar a los 100 millones en junio de 2017. Desde finales del año pasado, Let's Encrypt ha emitido al menos 1,2 millones de certificados por día.

El desarrollo se produce cuando más del 80 por ciento de las cargas de páginas web han comenzado a usar HTTPS en todo el mundo, y el 91 por ciento solo en los EE. UU.

HTTPS, el medio predeterminado de comunicación segura en Internet, viene con tres beneficios: autenticación, integridad y encriptación. Permite que las solicitudes HTTP se transmitan a través de un canal cifrado seguro, lo que protege a los usuarios de una serie de actividades maliciosas, incluida la falsificación del sitio y la manipulación de contenido.

"Desde 2017, los navegadores han comenzado a requerir HTTPS para más funciones, y han mejorado enormemente las formas en que comunican a sus usuarios sobre los riesgos de no usar HTTPS", dijo la compañía. "Cuando los sitios web ponen en riesgo a sus usuarios al no usar HTTPS, los principales navegadores muestran ahora advertencias más fuertes. Muchos sitios han respondido implementando HTTPS".

Lanzado con el objetivo de acelerar la velocidad de cifrado de la web y reducir los costos de habilitar HTTPS, el protocolo ACME (Entorno de administración automática de certificados) de Let's Encrypt ofrece un medio fácil para configurar y emitir certificados SSL que pueden renovarse y reemplazarse sin intervención manual de los webmasters.

Certbot de Electronic Frontier Foundation es uno de esos populares clientes de código abierto y de uso gratuito de ACME que habilita HTTPS en sitios web mediante la implementación automática de certificados Let's Encrypt, que son válidos solo por 90 días, y administra las renovaciones.

Pero con los malos actores que abusan de los certificados Let's Encrypt HTTPS para enmascarar el tráfico malicioso y dirigir a los usuarios desprevenidos a sitios maliciosos, la compañía ha tomado medidas para "asegurarse de que el solicitante de un certificado realmente controle el dominio para el que desea un certificado".

Apple da un significativo paso hacia adelante

Pero eso no es todo. Apple ha logrado hacer lo que la mayoría de las CA dudaron en lograr todo este tiempo: acortar a un año la validez máxima de los certificados emitidos.

El gigante de la tecnología anunció recientemente que a partir del 1 de septiembre de 2020, Safari rechazará los nuevos certificados HTTPS que vencen más de 13 meses (o 398 días) desde su fecha de creación, reduciendo efectivamente la vida útil máxima del certificado de 825 días.

Esto sigue a una votación fallida celebrada en septiembre pasado por CA/Browser Forum para reducir la vida útil de los certificados. Aunque Let's Encrypt, certSIGN, Apple, Cisco, Google, Microsoft, Mozilla y Opera votaron a favor de la medida, cerca de dos tercios de las CA participantes rechazaron la idea.

La medida de Apple para acortar la vida útil de los certificados HTTPS significa que los clientes de CA como Let's Encrypt y ACME como Certbot solo serán más valiosos en el futuro, ya que obligaría a los administradores del sitio web a usar un certificado emitido por 1 año o menos.

¿Cómo aumentan la seguridad los certificados de corta duración?

Limitar la vida útil de los certificados mejora la seguridad del sitio web, sobre todo porque reduce la posibilidad de que los delincuentes roben certificados descuidados para montar ataques de phishing y malware.

En segundo lugar, las versiones móviles de Chrome y Firefox no verifican proactivamente el estado del certificado, lo que implica que un sitio web cuyo certificado ha sido revocado seguirá cargándose sin avisar al usuario.

Esto se debe a razones de rendimiento, ya que los navegadores tendrán que terminar descargando listas de revocación de certificados (CRL) que pueden tener un tamaño bastante grande y afectar la carga de las páginas.

En cambio, Chrome usa CRLSets para "bloquear certificados en situaciones de emergencia", mientras que Mozilla ha estado experimentando con CRLite en sus versiones nocturnas.

Además de estas técnicas, el fabricante de Firefox también ha anunciado especificaciones técnicas para un nuevo protocolo criptográfico llamado "Credenciales delegadas para TLS", que "permite a las empresas tomar un control parcial sobre el proceso de firmar nuevos certificados para sí mismas, con un período de validez de no más de 7 días y sin depender completamente de la autoridad de certificación".

No hace falta decir que la decisión de Apple de reducir la duración de los certificados es un importante paso adelante para la seguridad. Y si ayuda a evitar de manera proactiva que los usuarios se conecten a sitios web comprometidos, solo puede ser algo bueno.

Jesus_Caceres