Let’s Encrypt emitió mil millones de certificados SSL gratuitos en los últimos 4 años

Let’s Encrypt, una autoridad de firma de certificados (CA) gratuita, automatizada y abierta del Grupo de Investigación de Seguridad de Internet (ISRG) sin fines de lucro, ha dicho que ha emitido mil millones de certificados desde su lanzamiento en 2015.

La CA emitió su primer certificado en septiembre de 2015, antes de alcanzar los 100 millones en junio de 2017. Desde finales del año pasado, Let’s Encrypt ha emitido al menos 1,2 millones de certificados cada día.

El desarrollo se produce cuando más del 80 por ciento de las cargas de páginas web han comenzado a usar HTTPS en todo el mundo y el 91 por ciento solo en los EE. UU.

HTTPS, el medio predeterminado de comunicación segura en Internet, viene con tres beneficios: autenticación, integridad y encriptación. Permite que las solicitudes HTTP se transmitan a través de un canal encriptado seguro, protegiendo así a los usuarios de una variedad de actividades maliciosas, incluida la falsificación de sitios y la manipulación de contenido.

«Desde 2017, los navegadores han comenzado a requerir HTTPS para más funciones y han mejorado enormemente la forma en que se comunican con sus usuarios sobre los riesgos de no usar HTTPS», dijo la compañía. «Cuando los sitios web ponen en riesgo a sus usuarios al no usar HTTPS, los principales navegadores ahora muestran advertencias más fuertes. Muchos sitios han respondido implementando HTTPS».

Lanzado con el objetivo de acelerar la tasa de cifrado de la web y reducir los costos de habilitar HTTPS, el protocolo ACME (Entorno de administración automática de certificados) de Let’s Encrypt ofrece un medio fácil para configurar y emitir certificados SSL que se pueden renovar y reemplazar sin intervención manual. de los webmasters.

Certbot de Electronic Frontier Foundation es uno de esos populares clientes ACME de código abierto y de uso gratuito que habilita HTTPS en sitios web mediante la implementación automática de certificados Let’s Encrypt, que son válidos solo por 90 días, y la gestión de renovaciones.

Pero con los malos actores que abusan de los certificados Let’s Encrypt HTTPS para enmascarar el tráfico malicioso y dirigir a los usuarios desprevenidos a sitios maliciosos, la compañía ha tomado medidas para «garantizar que un solicitante de certificado realmente controle el dominio para el que quiere un certificado».

Apple da un importante paso adelante

Pero eso no es todo. Apple ha logrado hacer lo que la mayoría de las CA dudaron en lograr todo este tiempo: acortar la validez máxima de los certificados emitidos a un año.

El gigante tecnológico anunció recientemente que, a partir del 1 de septiembre de 2020, Safari rechazará los nuevos certificados HTTPS que caduquen más de 13 meses (o 398 días) desde su fecha de creación, lo que reducirá la vida útil máxima del certificado de 825 días.

Esto sigue a una votación fallida realizada en septiembre pasado por CA / Browser Forum para reducir la vida útil de los certificados. Aunque Let’s Encrypt, certSIGN, Apple, Cisco, Google, Microsoft, Mozilla y Opera votaron a favor de la medida, cerca de dos tercios de las CA participantes rechazaron la idea.

El movimiento de Apple para acortar la vida útil de los certificados HTTPS significa que las CA como Let’s Encrypt y los clientes ACME como Certbot solo serán más valiosos en el futuro, ya que obligaría a los administradores del sitio web a usar un certificado emitido por 1 año o menos.

¿Cómo aumentan la seguridad los certificados de corta duración?

La limitación de la vida útil de los certificados mejora la seguridad del sitio web, sobre todo porque reduce la posibilidad de que los delincuentes roben certificados desatendidos para montar ataques de phishing y malware.

En segundo lugar, las versiones móviles de Chrome y Firefox no comprueban de forma proactiva el estado del certificado, lo que implica que un sitio web cuyo certificado haya sido revocado seguirá cargándose sin avisar al usuario.

Esto se debe a razones de rendimiento, ya que los navegadores tendrán que terminar descargando listas de revocación de certificados (CRL) que pueden tener un tamaño bastante grande, lo que afecta la carga de la página.

En cambio, Chrome usa CRLSets para «bloquear certificados en situaciones de emergencia», mientras que Mozilla ha estado experimentando con CRLite en sus compilaciones nocturnas.

Aparte de estas técnicas, el fabricante de Firefox también ha anunciado especificaciones técnicas para un nuevo protocolo criptográfico llamado «Credenciales delegadas para TLS», que «permite a las empresas tomar un control parcial sobre el proceso de firma de nuevos certificados por sí mismos, con un período de validez de no más de 7 días y sin depender completamente de la autoridad certificadora».

No hace falta decir que la decisión de Apple de reducir la vida útil de los certificados es un importante paso adelante para la seguridad. Y si ayuda a evitar de manera proactiva que los usuarios se conecten a sitios web comprometidos, solo puede ser algo bueno.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática