Certificati SSL gratis grazie a Let’s Encrypt, una nuova Certification Authority (CA) che partirà la prossima estate.
di Pierluigi Paganini*
Perché dare certificati digitali gratis
Le rivelazioni sui programmi di sorveglianza operati dai governi e la pressante azione del crimine informatico sono solo alcune delle spinte all’adozione dei processi di crittografia per gli utenti online.
Le principali aziende dell’IT come Google, Yahoo! ed Apple hanno deciso di offrire processi di cifratura ai propri utenti per aumentare la loro sicurezza e preservarne la privacy.
L’associazione no-profit Electronic Frontier Foundation (EFF), forte sostenitrice del diritto alla libertà di espressione e alla privacy degli utenti web, è fermamente intenzionata a supportare l’estensione della crittografia all’intera rete Internet.
Utilizzare un protocollo HTTPs per un sito web comporta per i gestori un onere finanziario e un maggiore sforzo per la manutenzione e l’installazione dei sistemi.
Cos’è Let’s Encrypt
L’associazione EFF, in collaborazione con altre aziende di spicco nel panorama IT, quali Akamai, Cisco e Mozilla, ha deciso di offrire gratuitamente certificati HTTPS/SSL. I certificati saranno messi a disposizione di chi gestisce un web server dall’inizio del 2015. Lo scopo è quello di incoraggiare l’utilizzo del protocollo HTTPs in rete.
L’iniziativa dovrebbe concretizzarsi con il lancio di una nuova Certification Authority (CA), chiamata Let’s Encrypt, previsto per l’estate 2015, che fornirà i certificati digitali TLS gratuitamente e si prefigge l’obiettivo di renderli disponibili in maniera più semplice per i gestori dei siti web.
Let’s Encrypt nasce dallo sforzo congiunto di Mozilla, Cisco Systems e Akamai Technologies, dell’Electronic Frontier Foundation, dell’autorità di certificazione IdenTrust e di ricercatori presso l’Università del Michigan.
Gli sviluppatori web che vogliono testare il servizio possono accedere al codice pubblicato sul repository web GitHub, dove il suo sorgente è pubblicamente disponibile. Va tuttavia sottolineato che il codice in oggetto non è ancora utilizzabile per ambienti di produzione.
L’adozione su larga scala dei protocollo HTTPs per la maggior parte dei siti web potrebbe aumentare notevolmente la sicurezza degli utenti, rendendo estremamente complessi attacchi alle connessioni cifrate tra utenti e server web.
Siamo davvero a un punto di svolta? Come reagiranno le principali CA alla nascita della nuova autorità?
*Pierluigi Paganini
Membro Gruppo di Lavoro Cyber G7 2017 presso Ministero degli Esteri
Membro Gruppo Threat Landscape Stakeholder Group ENISA
Collaboratore SIPAF presso il Mef
