Let's Encrypt e la liberalizzazione dei certificati SSL
È da anni che si parla di un web più sicuro per tutti, di "HTTPS ovunque”. Google stesso ha annunciato nell’agosto 2014, attraverso l’articolo "HTTPS as a ranking signal", che l’utilizzo di HTTPS è uno dei parametri di ranking di Google search, certo non tra i più influenti, ma comunque ha dato un segnale chiaro e forte sulla necessità di maggiore sicurezza e velocità del Web.
Let’s Encrypt Certification Authority
Let’s Encrypt si propone come Certification Authority (CA) gratuita, automatizzata e aperta, così come campeggia sul loro sito web:
Let’s Encrypt is a free, automated, and open certificate authority brought to you by the non-profit Internet Security Research Group (ISRG).
Con sponsor del calibro di Mozilla, Facebook, Chrome, Akamai, Cisco, OVH, Internet Society, Shopify, Electronic Frontier Foundation ed altri nomi importanti, il progetto ha la solidità necessaria per fare da rompighiaccio nel panorama delle CA a pagamento e fornire un orizzonte di lunga durata nella produzione di certificati SSL, con effetti utili alla liberalizzazione generale dei certificati e come spinta alla diffusione di un "web più sicuro”.
I principi chiave di Let’s Encrypt sono:
- Gratuità: chi possiede un nome a dominio può usare Let’s Encrypt per ottenere un certificato attendibile a costo zero.
- Automatismo: il software in esecuzione su un server web può interagire con Let’s Encrypt per ottenere un certificato in modo "indolore", configurarlo in modo sicuro per l'uso e ottenere automaticamente il rinnovo dello stesso.
- Sicurezza: Let's Encrypt servirà come piattaforma per attuare le migliori pratiche di sicurezza, sia nel settore delle CA che aiutando gli operatori a mettere in sicurezza i loro server.
- Trasparenza: tutti i certificati rilasciati o revocati sono ispezionabili su un apposito registro pubblico.
- Codice Open: l'emissione automatica e il protocollo di rinnovo sono pubblicati come standard aperti adottabili da terze parti.
- Cooperazione: proprio come i protocolli Internet stessi, Let’s Encrypt è uno sforzo congiunto a beneficio della comunità, fuori dal controllo di una qualsiasi organizzazione privata o pubblica.
Dal settembre 2015 ad oggi Let’s Encrypt ha rilasciato 1,7 milioni di certificati e la curva di crescita è ripida:
Numero di certificati emessi da Let's Encrypt
Il progetto, oltre alla generazione gratuita dei certificati, si propone di semplificare e snellire le operazioni necessarie al rilascio, installazione, rinnovo e revoca, automatizzando queste operazioni attraverso uno script python che può, volendo, configurare automaticamente il web server (sia apache che nginx).
Grazie a realtà come Aegir Project e omega8cc che sviluppano soluzioni di hosting Drupal OpenSource e Let’s Encrypt, anche noi a TourTools abbiamo installato certificati SSL per la maggioranza dei siti web ospitati sui nostri server, aggiornandoli alle migliori e attuali pratiche di sicurezza: HSTS, parametri Diffie-Hellman, etc
Perché passare ad HTTPS?
Ad oggi i siti che utilizzano HTTPS sono meno del 10%.
Google nella sua guida identifica differenti valide ragioni per farlo:
I dati inviati tramite HTTPS vengono protetti tramite il protocollo Transport Layer Security (TLS), che fornisce tre livelli di protezione fondamentali:
- Crittografia. I dati scambiati vengono criptati per proteggerli dalle intercettazioni. Ciò significa che, mentre l'utente consulta un sito web, nessuno può "ascoltare" le sue conversazioni, tenere traccia delle attività svolte in più pagine o carpire le sue informazioni.
- Integrità dei dati. I dati non possono essere modificati o danneggiati durante il trasferimento, intenzionalmente o meno, senza essere rilevati.
- Autenticazione. Dimostra che gli utenti comunicano con il sito web previsto. Protegge da attacchi man-in-the-middle e infonde fiducia negli utenti, il che si traduce in altri vantaggi commerciali.
È veramente sicuro?
Certamente è molto più sicuro perché implica uno scambio di informazioni crittografate tra server e client che non saranno più accessibili a "sguardi indiscreti", ma non mette completamente al riparo da tutti gli attacchi possibili, vulnerabilità del protocollo SSL/TLS ed attacchi esterni al protocollo di comunicazione sono comunque rischi esistenti:
- attacchi di tipo Downgrade
- vulnerabilità del protocollo SSL/TLS stesso (vedi le vulnerabilità note, come HeartBleed, Poodle e Logjam)
- hacking del sito web, del server o della rete
- vulnerabilità software
- attacchi Brute force
- attacchi DDOS
Perciò, passate anche voi ad HTTPS, ne trarrete solamente vantaggi, ma non scordate di tenervi aggiornati su vulnerabilità e best practices di sicurezza e di fare altrettanto con server e siti web.