Let’s Encrypt é uma iniciativa do Grupo de Pesquisa Internet Security que abriu sua loja de certificado SSL gratuitos para todos.
Let’s Encrypt é uma organização livre, automatizada e aberta – entrou na sua fase beta aberta ao público nesta semana, ou seja, você não tem que esperar por um convite para obter um certificado SSL livre (gratuito).
Josh Aas, o diretor-executivo do Grupo de Pesquisa de Segurança da Internet | ISRG que criou a Let’s Encrypt, disse no blog da Let’s Encrypt que o beta limitado lançado em setembro de 2015 emitiu mais de 11 mil certificados digitais o que deu à organização a confiança necessária para abrir o serviço para quem queira emitir o certificado.
[blockquote style=”2″]Está na hora da Web dar um grande passo à frente em termos de segurança e privacidade. Queremos que o HTTPS se torne o padrão. Let’s Encrypt foi criada para tornar mais simples e mais fácil obter e gerenciar certificados SSL “, disse Aas.[/blockquote]
[blockquote style=”2″]Nós ainda teremos muito trabalho até estarmos confortáveis para retirar completamente a etiqueta beta especialmente na experiência do cliente. Automação é uma pedra angular de nossa estratégia e nós precisamos ter certeza de que o cliente não terá problemas e funcionará de forma confiável nas diferentes plataformas existentes. Nós vamos monitor de perto o feedback dos usuários e faremos melhorias o mais rápido possível “, disse ele.[/blockquote]
Ivan Ristic, diretor de pesquisa de segurança do aplicativo no Qualys, disse que o lançamento da Let’s Encrypt é muito emocionante.
[blockquote style=”2″]Este projeto vai aumentar substancialmente a segurança em todo o mundo, permitindo a criptografia onde antes não havia nenhuma. O fato de que os seus certificados são gratuitos está remodelando a indústria das Autoridades Certificadoras. Já existem rumores de que Autoridades Certificadoras comerciais seguirão oferecendo também o certificado gratuitamente. Embora o custo seja um fator importante neste movimento, os principais avanços virão de automação e do fato de que a criptografia vai tornar-se incorporada no tecido da nossa infraestrutura de internet”, Ivan Ristic.[/blockquote]
Brian Spector, diretor executivo da Miracl, disse que a Let’s Encrypt é um passo na direção certa, pois o movimento ajuda a quebrar o grupo fechado que existe atualmente com apenas cinco empresas americanas que juntas emitem quase 95 por cento de todos os certificados utilizados mundialmente.
Mas ele adverte que a infraestrutura de chave pública (PKI) é um sistema inerentemente defeituoso que coloca muito controle nas mãos de alguns operadores.
[blockquote style=”2″]Qualquer entidade que controla a chave raiz utilizada por estas autoridades de certificação comerciais exerce uma tremenda quantidade de energia, como vimos quando o Google pegou Symantec emissão de certificados google.com legítimos de uma forma não autorizada, há algumas semanas”, disse Brian Spector.[/blockquote]
E o governo iraniano alegadamente emitiu certificados através de uma empresa holandesa chamada Diginotar que foram utilizados para executar ataques man-in-the-middle contra ativistas pró-democracia.
Brian adverte ainda que Let’s Encrypt é uma organização norte-americana controlada e sujeita à pressão de agências federais, sendo assim, não resolve o problema da centralização dos dados sensíveis e a torna um alvo atraente para hackers.
Let’s Encrypt está fora de sintonia com a segurança da informação ou vai ajudar a termos uma web mais confiável e segura? O que você acha? Deixe aqui sua opinião. Esse é um debate importante.
Particularmente achamos que um movimento pela Internet mais segura é muito bem-vindo, porque na verdade as ACs mundiais são omissas na evangelização da população de usuários comuns da Internet quanto a identificação de sites realmente seguros. A maioria das empresas que estão online só dará atenção as credenciais de SSL quando seus usuários entenderem que isso é importante, enquanto isso, o HTTPS é um assunto de relevância segundaria, infelizmente
O CABForum, uma organização que reúne as indústrias dos Navegadores e das Autoridades Certificadoras, com a criação dos Certificados EV – Certificados com Validação Estendida, deu um passo importante em direção a facilitar os visitantes quanto a identificação dos sites seguros, mas ainda um passo tímido.
A estratégia de comunicação das ACs é voltada para os compradores de SSL e não para os usuários finais
Os certificados EVs sinalizam verde se está tudo ok e os navegadores sinalizam em vermelho se o certificado apresenta alguma inconformidade. E quem sabe disso?
Os processos para a emissão dos certificados que identificam as organizações – qualificados como Certificados OV – Validação de Organização, de fato são complexos, mas os procedimentos são necessários. Compradores no mundo todo estão despreparados para a seleção e instalação dos certificados. Empresas de todos os portes e segmentos têm dificuldade na instalação dos certificados nos servidores web e, inacreditavelmente, também grandes empresas de hospedagem pouco sabem sobre o assunto.
As empresas não preparam mais suas equipes para a administração dos certificados SSL | TLS, o que era uma realidade diferente nas décadas passadas quando os próprios CIOs acompanhavam a gestão dos certificados de perto, quando não a faziam pessoalmente. Hoje não existe meio termo: de um lado estão os profissionais que são verdadeiros especialistas em HTTPS e do outro os que foram colocados em função para administração dos SSL e não entendem absolutamente nada.
Agora, instalar os certificados que apenas validam o domínio é mais simples somado o fato de que os responsáveis pela aquisição do certificado SSL | TLS não sabem distinguir muito bem a “água do vinho” acabam indo para o que é mais simples, mais rápido e muito mais barato.
Como funciona a validação de domínio?
O protocolo ACME envolve vários pedidos (ou desafios) para o servidor web onde o certificado está presente. Com base nas respostas, a Validação do Domínio do inscrito é assegurada por uso de um par de chaves. Existirá um cliente agente ACME configurado no servidor do domínio cadastrado que será consultado pelo servidor da autoridade certificadora (AC). Clique aqui, para mais informações técnicas.
Mesmo ofertando certificados menos qualificados a manutenção de uma Autoridade Certificadora requer muito investimento em infraestrutura, profissionais capacitados e P&D. Essa gratuidade não fecha a conta de uma operação sólida nem com patrocinadores.
Emissão de Certificado ou Revogação de certificados automáticos
Uma vez que o agente tem um par de chaves autorizadas, a solicitação de renovação e revogação dos certificados é simples: basta enviar mensagens de gerenciamento de certificado e assiná-las com o par de chaves autorizadas. Para obter um certificado para o domínio, o agente constrói um PKCS que solicita a CA Let’s Encrypt a emissão de um certificado para o domínio em questão, com a chave pública informada.
As instruções para a obtenção de um certificado SSL como cliente Let’s Encrypt você encontra aqui.
Bem, se você pensa em adquirir os certificados gratuitos para servidores de uso interno que você não protegia, siga em frente, mas nós recomendamos muita prudência na substituição de seus certificados.
Porque não termos mais HTTPS instalados na rede?
Pelo fato da maioria dos que adquirem e administram os certificados não saberem instala-los corretamente nos servidores web e não sabem administrar sua manutenção.
O preço não é o fator mais importante nessa questão e gratuidade não será o maior impulsionador da adoção do HTTPS.
Recomende aos que querem mais informações sobre SSL os treinamentos do CryptoID. Será publicado em março de 2016 o calendário de treinamentos. Entreos cursos haverá um inédito no mercado brasileiro que tratará exclusivamente de certificados web SSL | TLS. Inscreva-se abaixo e receba informações.
Inscreva-se para receber informações dos Treinamentos sobre Criptografia e Identificação Digital – CryptoID Plus. Compartilhe com seus amigos e com a área de treinamentos da sua empresa! Também ministramos treinamentos customizados “in company” em todo o Brasil.
[accordion][acc title=”Inscreva-se agora para receber informações sobre nossos cursos!”]
Erro: Formulário de contato não encontrado.
[/acc][/accordion]Com informações da Let’s Encrypt