BAQUIA

Lets Encrypt: Protegiendo servidores web de forma sencilla y gratuita

candado-verde-1a.jpg

La mayoría de los usuarios de Internet hoy en día saben que una página web es segura cuando tiene el famoso candado verde. Lo que no todos conocen es lo que hay detrás del candado para proporcionar la seguridad a las comunicaciones. Se trata del protocolo https (Hypertext Transfer Protocol Secure); cuya función principal es ocultar (cifrar o encriptar) los datos que se envían entre servidor y cliente, evitando que alguien que vea el flujo de datos entre ambos pueda extraer información sensible, como correos, contraseñas o datos bancarios, entre otros. Organizaciones como entidades bancarias,  tiendas online, y cada vez más servicios web como facebook, twitter, y este año también gmail, lo emplean para la protección de la privacidad de sus clientes; aún así menos de un 10% del tráfico de Internet es seguro y cifrado.

Para establecer una comunicación entre el navegador del usuario y un servidor web mediante el protocolo https,  se necesita que el servidor presente un certificado firmado por una autoridad certificadora que acredite que el servidor es quien dice ser. Las entidades emisoras de los certificados como Symantec, Verisign, GeoTrust, etc .. cobran una tasa por su emisión, y éste suele tener un período de vigencia limitado por lo que hay que contar con un coste anual del certificado de entre 90 € y 1.000 € según sus características. 

El coste económico y de mantenimiento que supone la migración de los servidores web del protocolo http al https para mejorar su seguridad, sigue siendo un freno para que los administradores web puedan incorporarlo. Pero  según Electronic Frontier Foundation (EFF), esto no debería ser un impedimento para conseguir crear entre todos una Internet más segura. Es por esto que EEF ha promovido la creación de la iniciativa Let’s Encrypt en colaboración con algunas compañías tecnológicas como Mozilla, Cisco, Akamai, IdenTrust y la Universidad de Michigan; y está previsto su fecha de lanzamiento para el próximo verano. 

El objetivo final de Let\’s Encrypt es hacer posible la instalación de un servidor web con protocolo https sin ninguna intervención humana, y con un certificado sin coste. Esto se logra mediante la ejecución de un agente (programa) en el servidor web que administre los certificados. La instalación del agente Let\’s Encrypt se hace en unos minutos y es tan sencillo como ejecutar estos comandos:

$ sudo apt-get install lets-encrypt $ lets-encrypt miweb.com

Let\’s Encrypt se encarga de las siguientes tareas:

  • Preguntar al servidor web el nombre del dominio (por ejemplo miweb.com)

  • Solicitar a Let\’s Encrypt un certificado para este dominio

  • Instalar el certificado en el servidor, y ajustar el servidor web para que use https

  • Llevar un registro de cuando el certificado va a caducar, y automáticamente renovarlo

  • Ayudar a revocar el certificado en caso de que sea necesario

Lo más interesante de este proyecto es que la autoridad certificadora será gratuita y que el código se ha hecho público a través de GitHub.

b2ap3_thumbnail_LetsEncrypt.jpg

 

El hecho de ser gratuito favorece que cualquier servidor pueda ofrecer conexiones más seguras, y así proporcionar más confianza en la seguridad y privacidad de Internet.

Y por otro lado, el que sea de código abierto fomenta la integración con otros servicios de Internet, lo cual es un aspecto muy valioso; pero que se puede volver en contra porque como cualquier software libre, es susceptible de que le descubran vulnerabilidades más fácilmente. Esperemos que los responsables del proyecto inviertan el esfuerzo necesario para que tanto los certificados como su gestión tengan un nivel estricto de protección.

Teniendo en cuenta las grandes ventajas que promete Let\’s Encrypt os preguntareis si las empresas emisoras de certificados deben estar preocupadas por su negocio. En este sentido Symantec, que es la empresa más competitiva en este terreno, ha declarado que ellos sabían que aparecería alguna iniciativa de este tipo; y que están preparados para ello.

Para Symantec, Let\’s Encrypt es el mismo tipo de competencia que las soluciones de certificados más baratas (se pueden encontrar algunas de hasta 4 € al año), que aun reduciendo extremadamente el coste, no ofrecen el tipo de certificado adecuado para las grandes empresas; aunque si cubren el mercado destinado a los particulares. Pero tenemos que tener en cuenta que no todos los certificados ofrecen el mismo nivel de seguridad. No es lo mismo un certificado DV (Domain Validated) que asegura que se es propietario de un dominio (seguramente el que proporcionará Let\’s Encrypt), que un certificado EV (Extended Validation) para el que se necesita aportar una gran cantidad de documentación, y que además es el que muestra la famosa barra verde en el navegador.

Lo que si es una ventaja para todos, empresas y particulares, es que después de Let\’s Encrypt ya no hay escusas para tener un sitio sin comunicaciones seguras; lo que redunda en la seguridad de toda la comunidad de internautas.


Compartir en :


Noticias relacionadas




Comentarios