Let's Encrypt es una autoridad de certificación sin fines de lucro administrada por Internet Security Research Group (ISRG) que proporciona certificados X.509 para el cifrado de seguridad de la capa de transporte (TLS) sin cargo. Es la autoridad certificadora más grande del mundo, [2] utilizada por más de 265 millones de sitios web , [3] con el objetivo de que todos los sitios web sean seguros y utilicen HTTPS .
Formación | 18 de noviembre de 2014 |
---|---|
Fundador | |
Sede | San Francisco , California , EE . UU. |
Coordenadas | 37 ° 48′01 ″ N 122 ° 27′00 ″ O / 37.800322 ° N 122.449951 ° WCoordenadas : 37 ° 48′01 ″ N 122 ° 27′00 ″ O / 37.800322 ° N 122.449951 ° W |
Servicios | Autoridad de certificación X.509 |
Organización matriz | Grupo de investigación de seguridad de Internet |
Presupuesto (2019) | US $ 3,6 millones [1] |
Personal (2020) | 16 [2] |
Sitio web | letsencrypt |
Descripción general
La misión de la organización es crear una World-Wide Web más segura y que respete la privacidad mediante la promoción de la adopción generalizada de HTTPS. [4] Los certificados Let's Encrypt tienen una validez de 90 días, durante los cuales se puede renovar en cualquier momento. Esto se maneja mediante un proceso automatizado diseñado para superar la creación, validación , firma , instalación y renovación manuales de certificados para sitios web seguros. [5] [6] El proyecto afirma que su objetivo es hacer que las conexiones cifradas a los servidores de la World Wide Web sean ubicuas. [7] Al eliminar el pago, la configuración del servidor web, la gestión del correo electrónico de validación y las tareas de renovación de certificados, se pretende reducir significativamente la complejidad de configurar y mantener el cifrado TLS. [8]
En un servidor web Linux , la ejecución de solo dos comandos es suficiente para configurar el cifrado HTTPS y adquirir e instalar certificados. [9] [10] Con ese fin, se incluyó un paquete de software en los repositorios de software oficiales de Debian y Ubuntu . [11] [12] Las iniciativas actuales de los principales desarrolladores de navegadores como Mozilla y Google para desaprobar el HTTP sin cifrar cuentan con la disponibilidad de Let's Encrypt. [13] [14] Se reconoce que el proyecto tiene el potencial de lograr conexiones encriptadas como el caso predeterminado para toda la Web. [15]
El servicio solo emite certificados validados por dominio , ya que pueden automatizarse por completo. Los Certificados de Validación de Organización y de Validación Extendida requieren la validación humana de cualquier registrante y, por lo tanto, Let's Encrypt no los ofrece. [16] El soporte de ACME v2 y certificados comodín se agregó en marzo de 2018. [17] La validación de dominio (DV) utilizada por Let's Encrypt se remonta a 2002 y al principio fue controvertida cuando fue introducida por GeoTrust antes de convertirse en un método ampliamente aceptado para Emisión de certificados SSL. [18]
Al ser lo más transparente posible, la organización espera proteger su propia confiabilidad y protegerse contra ataques e intentos de manipulación. Para ello, publica periódicamente informes de transparencia, [19] registra públicamente todas las transacciones ACME (por ejemplo, mediante el uso de Certificate Transparencia ) y utiliza estándares abiertos y software libre en la mayor medida posible. [9]
Historia
El proyecto Let's Encrypt fue iniciado en 2012 por dos empleados de Mozilla, Josh Aas y Eric Rescorla, junto con Peter Eckersley en la Electronic Frontier Foundation y J. Alex Halderman en la Universidad de Michigan . Internet Security Research Group , la empresa detrás de Let's Encrypt, se incorporó en mayo de 2013. [20]
Let's Encrypt se anunció públicamente el 18 de noviembre de 2014 [21].
El 28 de enero de 2015, el protocolo ACME se presentó oficialmente al IETF para su estandarización. [22] El 9 de abril de 2015, el ISRG y la Fundación Linux declararon su colaboración. [23] Los certificados raíz e intermedios se generaron a principios de junio. [24] El 16 de junio de 2015, se anunció el calendario de lanzamiento final del servicio, y se espera que el primer certificado se emita en algún momento de la semana del 27 de julio de 2015, seguido de un período de emisión limitado para probar la seguridad y la escalabilidad. La disponibilidad general del servicio se planeó originalmente para comenzar en algún momento de la semana del 14 de septiembre de 2015. [25] El 7 de agosto de 2015, se modificó el cronograma de lanzamiento para brindar más tiempo para garantizar la seguridad y estabilidad del sistema, con el primer certificado para se emitirá en la semana del 7 de septiembre de 2015 seguido de disponibilidad general en la semana del 16 de noviembre de 2015. [26]
El 14 de septiembre de 2015, Let's Encrypt emitió su primer certificado, que era para el dominio helloworld .letsencrypt .org . El mismo día, ISRG envió sus aplicaciones de programa raíz a Mozilla , Microsoft , Google y Apple . [27]
El 19 de octubre de 2015, IdenTrust firmó de forma cruzada los certificados intermedios, lo que hizo que todos los navegadores principales confiaran en todos los certificados emitidos por Let's Encrypt. [28]
El 12 de noviembre de 2015, Let's Encrypt anunció que la disponibilidad general se retrasaría y que la primera beta pública comenzaría el 3 de diciembre de 2015. [29] La beta pública se desarrolló desde el 3 de diciembre de 2015 [30] hasta el 12 de abril de 2016 . [31] Se puso en marcha el 12 de abril de 2016. [32] [33] [34]
El 3 de marzo de 2020, Let's Encrypt anunció que tendría que revocar más de 3 millones de certificados el 4 de marzo, debido a una falla en su software de autoridad de certificación. [35] Mediante el trabajo con los proveedores de software y el contacto con los operadores del sitio, Let's Encrypt logró renovar 1,7 millones de los certificados afectados antes de la fecha límite. Finalmente, decidieron no revocar los certificados restantes afectados, ya que el riesgo de seguridad era bajo y los certificados vencerían en los próximos 90 días. [36]
En marzo de 2020, Let's Encrypt recibió el premio anual de la Free Software Foundation para proyectos de beneficio social. [37]
El 27 de febrero de 2020, Let's Encrypt anunció haber emitido mil millones de certificados. [38]
En mayo de 2021, Let's Encrypt informa haber emitido 158 millones de certificados activos (no vencidos). [3]
Partes involucradas
Let's Encrypt es un servicio proporcionado por Internet Security Research Group (ISRG), una organización de beneficio público . [34] Los principales patrocinadores incluyen la Electronic Frontier Foundation (EFF), la Fundación Mozilla , OVH , Cisco Systems , Facebook , Google Chrome , Internet Society , AWS y la Fundación Bill y Melinda Gates . [39] Otros socios incluyen la autoridad de certificación IdenTrust , [28] la Universidad de Michigan (UM), [20] y la Fundación Linux . [23]
Tecnología
Cadena de confianza
Raíz ISRG X1 (RSA)
En junio de 2015, Let's Encrypt anunció la generación de su primer certificado raíz RSA , ISRG Root X1. [40] El certificado raíz se utilizó para firmar dos certificados intermedios , [40] que también están firmados por la autoridad de certificación IdenTrust . [28] [41] Uno de los certificados intermedios se utiliza para firmar certificados emitidos, mientras que el otro se mantiene fuera de línea como respaldo en caso de problemas con el primer certificado intermedio. [40] Debido a que los principales navegadores web ya confiaban ampliamente en el certificado IdenTrust, los certificados Let's Encrypt normalmente pueden ser validados y aceptados por partes confiantes [24] incluso antes de que los proveedores de navegadores incluyan el certificado raíz ISRG como un ancla de confianza .
Raíz ISRG X2 (ECDSA)
Los desarrolladores de Let's Encrypt planearon generar una clave raíz ECDSA en 2015, [40] pero luego retrasaron el plan a principios de 2016, luego a 2019 y finalmente a 2020. El 3 de septiembre de 2020, Let's Encrypt emitió seis nuevos certificados: uno nueva raíz ECDSA denominada "ISRG Root X2", cuatro intermedios y un signo cruzado. El nuevo ISRG Root X2 tiene firma cruzada con ISRG Root X1, el propio certificado raíz de Let's Encrypt. Let's Encrypt no emitió un respondedor OCSP para los nuevos certificados intermedios y, en su lugar, planea depender únicamente de las listas de revocación de certificados (CRL) para recuperar certificados comprometidos y períodos de validez cortos para reducir el peligro de compromiso del certificado. [42]
Protocolo ACME
El protocolo de desafío-respuesta que se usa para automatizar la inscripción con la autoridad de certificación se denomina Entorno de administración de certificados automatizado (ACME). Puede consultar servidores web o servidores DNS controlados por el dominio cubierto por el certificado que se emitirá. En función de si las respuestas resultantes coinciden con las expectativas, se asegura el control del inscrito sobre el dominio (validación del dominio). El software del cliente ACME puede configurar un servidor TLS dedicado que es consultado por el servidor de la autoridad certificadora ACME con solicitudes usando Indicación de nombre de servidor (Validación de dominio usando Indicación de nombre de servidor, DVSNI), o puede usar enlaces para publicar respuestas en Web y DNS existentes. servidores.
Los procesos de validación se ejecutan varias veces en rutas de red independientes. La verificación de que las entradas de DNS están aprovisionadas se realiza desde múltiples ubicaciones geográficamente diversas para dificultar los ataques de suplantación de DNS .
Las interacciones ACME se basan en el intercambio de documentos JSON a través de conexiones HTTPS. [43] Un borrador de la especificación está disponible en GitHub , [44] y se ha enviado una versión al Grupo de Trabajo de Ingeniería de Internet (IETF) como una propuesta para un estándar de Internet. [45]
Let's Encrypt implementó su propio borrador del protocolo ACME. Al mismo tiempo, presionaron por la estandarización. Esto llevó a un "estándar propuesto" (RFC8555) en mayo de 2019. Introdujo cambios importantes y, como tal, se ha denominado ACMEv2. Let's Encrypt implementó la nueva versión y comenzó a impulsar las actualizaciones de los clientes existentes. El empujón se implementó con tiempos de inactividad intermitentes de la API ACMEv1. El fin de la vida útil se anunció con fechas y fases en el "Plan de fin de vida útil de ACMEv1". [46] Desde el 8 de noviembre de 2019, el punto final ACMEv1 ya no acepta nuevos registros de cuentas. Desde junio de 2020, ACMEv1 dejó de aceptar nuevas validaciones de dominio. Además, desde enero de 2021, ACMEv1 sufre caídas de tensión de 24 horas. Está programado que ACMEv1 se apague por completo el 1 de junio de 2021. [47]
Implementación de software
La autoridad de certificación consiste en un software llamado Boulder, escrito en Go , que implementa el lado del servidor del protocolo ACME . Se publica como software gratuito con código fuente según los términos de la versión 2 de la licencia pública de Mozilla (MPL). [48] Proporciona una API RESTful a la que se puede acceder a través de un canal cifrado con TLS. Boulder utiliza internamente cfssl, un conjunto de herramientas PKI / TLS de CloudFlare . [49]
Un Apache -licensed [50] Python programa de gestión de certificados llamada certbot (anteriormente letsencrypt ) que se instala en el lado del cliente (el servidor web de una persona inscrita). Se utiliza para solicitar el certificado, realizar el proceso de validación del dominio, instalar el certificado, configurar el cifrado HTTPS en el servidor HTTP y posteriormente renovar periódicamente el certificado. [9] [51] Después de la instalación y aceptar la licencia de usuario, ejecutar un solo comando es suficiente para instalar un certificado válido. También se pueden habilitar opciones adicionales como grapado OCSP o HTTP Strict Transport Security (HSTS). [43] La configuración automática inicialmente solo funciona con Apache y nginx .
Let's Encrypt emite certificados válidos por 90 días. La razón dada es que estos certificados "limitan el daño causado por el compromiso y la emisión incorrecta de claves" y fomentan la automatización. [52]
Inicialmente, Let's Encrypt desarrolló su propio cliente ACME, Certbot, como una implementación oficial. Esto se ha transferido a Electronic Frontier Foundation y su nombre "letsencrypt" se ha cambiado a "certbot". Existe una gran selección de clientes y proyectos de ACME para una serie de entornos desarrollados por la comunidad. [53]
Ver también
- HTTPS en todas partes
- Let's Encrypt Stats : gráficos interactivos de certificados Let's Encrypt emitidos día a día
Otras lecturas
- Barnes, R .; Hoffman-Andrews, J .; McCarney, D .; Kasten, J. (marzo de 2019). Entorno de gestión automática de certificados (ACME) RFC 8555 . IETF .
Referencias
- ^ Aas, Josh (31 de diciembre de 2019). "Mirando hacia el 2019" . Vamos a cifrar . Consultado el 26 de enero de 2019 .
- ^ a b "Por una mejor Internet - Informe anual de ISRG 2020" (PDF) . Grupo de Investigación en Seguridad de Internet . 17 de noviembre de 2020 . Consultado el 11 de mayo de 2021 .
- ^ a b "Vamos a cifrar estadísticas - Vamos a cifrar - Certificados SSL / TLS gratuitos" . letsencrypt.org . Consultado el 11 de mayo de 2021 .
- ^ "Let's Encrypt - Preguntas frecuentes" . Vamos a cifrar . Consultado el 11 de mayo de 2021 .
- ^ Kerner, Sean Michael (18 de noviembre de 2014). "Vamos a cifrar el esfuerzo tiene como objetivo mejorar la seguridad de Internet" . eWeek.com . Quinstreet Enterprise . Consultado el 27 de febrero de 2015 .
- ^ Eckersley, Peter (18 de noviembre de 2014). "Lanzamiento en 2015: una autoridad de certificación para cifrar toda la web" . Fundación Frontera Electrónica . Consultado el 27 de febrero de 2015 .
- ^ "Cómo funciona" . Vamos a cifrar . Consultado el 9 de julio de 2016 .
- ^ Tung, Liam (19 de noviembre de 2014). "EFF, Mozilla para lanzar cifrado de sitios web gratuito con un solo clic" . ZDNet . CBS Interactive.
- ^ a b c Fabian Scherschel (19 de noviembre de 2014). "Vamos a cifrar: Mozilla und die EFF mischen den CA-Markt auf" (en alemán). heise.de.
- ^ Marvin, Rob (19 de noviembre de 2014). "EFF quiere que HTTPS sea el protocolo predeterminado" . Tiempos de desarrollo de software . BZ Media. Archivado desde el original el 17 de junio de 2016 . Consultado el 27 de mayo de 2019 .
- ^ Marier, Francois (1 de enero de 2015). "ITP: letsencrypt - Cliente Let's Encrypt que puede actualizar las configuraciones de Apache" . Registros de informes de errores de Debian .
- ^ "python-letsencrypt" . Rastreador de paquetes Debian . 27 de mayo de 2015.
- ^ Barnes, Richard (30 de abril de 2015). "Desactivación de HTTP no seguro" . Blog de seguridad de Mozilla . Mozilla.
- ^ "Marcando HTTP como no seguro" . Los proyectos de Chromium .
- ^ Moody, Glyn (25 de noviembre de 2014). "La guerra que se avecina contra el cifrado, Tor y las VPN" . Computerworld Reino Unido . IDG Reino Unido.
- ^ Vaughan-Nichols, Steven J. (9 de abril de 2015). "Asegurar la web de una vez por todas: el proyecto Let's Encrypt" . ZDNet . CBS Interactive.
- ^ Aas, Josh (13 de marzo de 2018). "La compatibilidad con certificados ACME v2 y comodines está activa" . Vamos a cifrar . Consultado el 24 de mayo de 2018 .
- ^ "Hay certs y certs - VeriSign habla mal de sus rivales" . www.theregister.com . Consultado el 20 de agosto de 2020 .
- ^ Zorz, Zeljka (6 de julio de 2015). "Let's Encrypt CA publica informe de transparencia antes de su primer certificado" . Ayuda Net Security .
- ^ a b Aas, Josh (18 de noviembre de 2014). "Vamos a cifrar | Boom Swagger Boom" . Boomswaggerboom.wordpress.com. Archivado desde el original el 8 de diciembre de 2015 . Consultado el 6 de enero de 2016 .
- ^ Joseph Tsidulko (18 de noviembre de 2014). "Let's Encrypt, una autoridad de certificación gratuita y automatizada, sale del modo sigiloso" . crn.com . Consultado el 26 de agosto de 2015 .
- ^ Historia de draft-barnes-acme
- ^ a b Kerner, Sean Michael (9 de abril de 2015). "Let's Encrypt Becomes Linux Foundation Collaborative Project" . eWeek . QuinStreet Enterprise.
- ^ a b Reiko Kaps (5 de junio de 2015). "Vamos a cifrar: Meilenstein zu kostenlosen SSL-Zertifikaten für alle" (en alemán). heise.de.
- ^ Josh Aas (16 de junio de 2015). "Vamos a cifrar el programa de lanzamiento" . letsencrypt.org . Vamos a cifrar . Consultado el 19 de junio de 2015 .
- ^ "Calendario de lanzamiento de Let's Encrypt actualizado" . 7 de agosto de 2015.
- ^ Michael Mimoso. "El primer certificado gratuito Let's Encrypt se activa" . Threatpost.com, Kaspersky Labs . Consultado el 16 de septiembre de 2015 .
- ^ a b c Aas, Josh (19 de octubre de 2015). "Let's Encrypt es de confianza" .
- ^ "Beta pública: 3 de diciembre de 2015" . 12 de noviembre de 2015.
- ^ "Entrando en Beta Pública - Let's Encrypt - Certificados SSL / TLS gratuitos" . Vamos a cifrar. 3 de diciembre de 2015 . Consultado el 6 de enero de 2016 .
- ^ "Vamos a cifrar las hojas Beta" . LinuxFoundation.org . Archivado desde el original el 15 de abril de 2016 . Consultado el 17 de abril de 2016 .
- ^ Josh Aas; Director Ejecutivo de ISRG. "Saliendo de Beta, Nuevos Patrocinadores" . EFF . Consultado el 12 de abril de 2016 .
- ^ Catalin Cimpanu. "Let's Encrypt lanzado hoy, actualmente protege 3.8 millones de dominios" . Noticias de Softpedia . Consultado el 12 de abril de 2016 .
- ^ a b "Acerca de Let's Encrypt" . Vamos a cifrar.
- ^ "Revocación de ciertos certificados el 4 de marzo" . 3 de marzo de 2020 . Consultado el 4 de marzo de 2020 .
- ^ Barrett, Brian (9 de marzo de 2020). "Internet evitó un desastre menor la semana pasada" . Cableado . Conde Nast . Consultado el 12 de mayo de 2020 .
- ^ Let's Encrypt, Jim Meyering y Clarissa Lima Borges reciben la Fundación de Software Libre de los Premios al Software Libre 2019 de la FSF , 2020
- ^ "Let's Encrypt ha emitido mil millones de certificados - Let's Encrypt - Certificados SSL / TLS gratuitos" . letsencrypt.org . Consultado el 3 de abril de 2021 .
- ^ "Patrocinadores y financiadores actuales" . Vamos a cifrar.
- ^ a b c d Aas, Josh (4 de junio de 2015). "Vamos a cifrar certificados raíz e intermedios" . Vamos a cifrar .
- ^ Reiko Kaps (17 de junio de 2015). "SSL-Zertifizierungsstelle Lets Encrypt will Mitte Septiembre 2015 öffnen" (en alemán). heise.de.
- ^ Gable, Aaron (17 de septiembre de 2020). "Let's Encrypt's New Root e Intermediate Certificates" . Vamos a cifrar . Consultado el 22 de septiembre de 2020 .
- ^ a b Brook, Chris (18 de noviembre de 2014). "EFF, otros planean facilitar el cifrado de la Web en 2015" . Threatpost: el servicio de noticias de seguridad de Kaspersky Lab .
- ^ "Proyecto de especificación ACME" . GitHub . 6 de mayo de 2020.
- ^ Barnes, Richard; Eckersley, Peter; Schoen, Seth; Halderman, Alex; Kasten, James (28 de enero de 2015). "Entorno de gestión automática de certificados (ACME) draft-barnes-acme-01" . Grupo de trabajo en red.
- ^ "Plan de fin de vida útil de ACMEv1" . Let's Encrypt Community Support . 11 de marzo de 2019 . Consultado el 20 de agosto de 2020 .
- ^ "Plan de fin de vida útil de ACMEv1 - Anuncios de API" . Let's Encrypt Community Support . 5 de mayo de 2021 . Consultado el 12 de mayo de 2021 .
- ^ letsencrypt. "boulder / LICENSE.txt en master · letsencrypt / boulder · GitHub" . Github.com . Consultado el 6 de enero de 2016 .
- ^ "¿Dirigir Boulder dentro de su organización?" . Let's Encrypt Community Support . 7 de diciembre de 2016 . Consultado el 20 de agosto de 2020 .
- ^ letsencrypt (23 de noviembre de 2015). "letsencrypt / LICENSE.txt en el maestro · letsencrypt / letsencrypt · GitHub" . Github.com . Consultado el 6 de enero de 2016 .
- ^ Sanders, James (25 de noviembre de 2014). "Iniciativa Let's Encrypt para proporcionar certificados de cifrado gratuitos" . TechRepublic . CBS Interactive.
- ^ Aas, Josh (9 de noviembre de 2015). "¿Por qué los certificados tienen una vida útil de noventa días?" . Vamos a cifrar . Consultado el 26 de junio de 2016 .
- ^ "Implementaciones de clientes ACME - Let's Encrypt - Certificados SSL / TLS gratuitos" . letsencrypt.org . Consultado el 20 de agosto de 2020 .
enlaces externos
- Página web oficial
- Certbot
- Vamos a cifrar en GitHub
- Conferencia Libre Planet 2015 de Seth Schoen sobre Let's Encrypt
- Charla de pde sobre Let's Encrypt en CCCamp 2015
- Lista de certificados emitidos por Let's Encrypt