La percentuale di siti Web protetti con crittografia sicura HTTPS, indicata dall'icona del lucchetto nella barra degli indirizzi della maggior parte dei browser, è passata da poco più del 40% nel 2016 all'80% di oggi.

Ciò è in gran parte dovuto agli sforzi di Let's Encrypt, un'autorità di certificazione senza scopo di lucro co-fondata nel 2013 da J. Alex Halderman, un professore di informatica e ingegneria dell'Università del Michigan.

Offrendo un servizio gratuito, Let's Encrypt ha trasformato l'implementazione di HTTPS da un costoso, processo complicato a un passaggio semplice alla portata di tutti i siti web. L'autorità di certificazione è ora la più grande al mondo, fornendo più certificati HTTPS di tutte le altre autorità di certificazione messe insieme.

Halderman e i suoi collaboratori di Let's Encrypt, la Electronic Frontier Foundation, Mozza, Cisco e la Stanford University hanno pubblicato un documento che descrive in dettaglio come il progetto si è concretizzato. Sperano che serva da modello per semplificare altri aspetti dell'infrastruttura Internet su cui tutti facciamo affidamento ogni giorno.

Che cos'è esattamente un'autorità di certificazione HTTPS?

Halderman:HTTPS è il protocollo utilizzato dai browser Web per comunicare con i server Web tramite una connessione crittografata. Fornisce riservatezza impedendo agli intercettatori di dare un senso ai dati. Fornisce integrità impedendo alle reti dannose di modificare i dati. E fornisce l'autenticazione assicurandoti di parlare con il server mostrato nella barra degli indirizzi del browser piuttosto che con un impostore. Quest'ultima parte è essenziale. Se HTTPS non aveva l'autenticazione, un utente malintenzionato potrebbe reindirizzare la connessione a un server che controllava e leggere o alterare i dati.

L'autenticazione è anche la parte difficile, ed è qui che entrano in gioco le autorità di certificazione. Sono un piccolo gruppo di organizzazioni di cui i browser Web si fidano per garantire l'identità dei server. Per implementare HTTPS, un sito Web deve prima dimostrare a un'autorità di certificazione che è realmente il server di un particolare dominio Internet. Quindi l'autorità di certificazione rilascia al sito un certificato con firma digitale, che funziona come una patente di guida per consentire ai browser di confermare la sua identità.

Perché la crittografia è importante sui siti Web che non gestiscono informazioni sensibili?

Halderman:Quando è stato inventato HTTPS negli anni '90, era destinato principalmente alle transazioni con carta di credito e all'online banking. Ma da allora, Internet è diventato un luogo molto più pericoloso. Edward Snowden ci ha mostrato che i governi stavano sorvegliando il traffico su scala globale. Abbiamo anche visto casi in cui i governi e altri hanno modificato il traffico Internet per attaccare il computer dell'utente, o utilizzare il proprio computer per attaccare terze parti.

Quindi oggi, la crittografia è importante non solo per le transazioni finanziarie ma per tutte le comunicazioni online. Ecco perché è importante renderlo accessibile a tutti gli operatori del sito web, e Let's Encrypt fa proprio questo. È stato particolarmente efficace nel favorire l'adozione di HTTPS su siti Web più piccoli che non dispongono delle risorse per ottenere un certificato attraverso il processo tradizionale.

Perché HTTPS è stato così difficile da implementare?

Halderman:Tradizionalmente, l'implementazione di HTTPS ha richiesto agli operatori del sito Web di scegliere un'autorità di certificazione, dimostrare loro la propria identità, pagare fino a poche centinaia di dollari per un certificato, aspetta che arrivi, quindi segui una complicata serie di passaggi per installarlo. Devi ripetere il processo ogni anno o due, e se non lo fai in tempo, il tuo sito web potrebbe non funzionare. Quindi molti siti web, particolarmente piccoli, hanno appena lasciato i loro siti non crittografati.

Let's Encrypt è un diverso tipo di autorità di certificazione che fornisce certificati gratuiti attraverso un processo automatizzato che spesso richiede solo un clic, e a volte è una parte automatica della configurazione del sito web. Ciò ha determinato un enorme aumento del numero di siti protetti.

In che modo Let's Encrypt può fornire certificati gratuitamente?

Halderman:Primo, Let's Encrypt non ha scopo di lucro ed è finanziato principalmente da donazioni di grandi aziende tecnologiche. È diverso dalla maggior parte delle autorità di certificazione. In secondo luogo, e forse controintuitivamente, rendere i certificati gratuiti riduce drasticamente i costi di emissione. Il pagamento è una grande fonte di attrito che rende il processo molto più difficile da automatizzare.

Quindi una volta rimosso quell'attrito, i certificati diventano molto più semplici da emettere. Una volta semplificato il processo, siamo stati in grado di automatizzarlo costruendo un sistema software chiamato protocollo ACME. ACME riduce il costo di ogni certificato rilasciato da Let's Encrypt a una frazione di centesimo.

Perché il primo articolo del tuo team su Let's Encrypt esce quattro anni dopo il suo lancio?

Halderman:Perché creare un nuovo tipo di autorità di certificazione che distribuisca certificati gratuiti è stata un'idea folle. Se avessimo scritto la carta prima di costruirla, non sarebbe stato pubblicato. Dovevamo dimostrare che l'economia avrebbe funzionato, e non c'era modo di farlo se non semplicemente costruirlo.

Quattro anni dopo, Let's Encrypt ha avuto un enorme successo. E spero che questo documento, che ripercorre come l'abbiamo costruito e ne misura l'impatto sul web, può aiutare a diffondere alcune delle lezioni che abbiamo imparato per aiutare altre parti dell'infrastruttura Internet a funzionare meglio.

Quali sono alcune di queste lezioni e come possono aiutare in altre aree?

Halderman:Parte di ciò che fa funzionare Let's Encrypt è che è una parte neutrale che opera nell'interesse pubblico piuttosto che un prodotto di una qualsiasi grande azienda tecnologica. Ciò lo rende qualcosa di cui tutti possono fidarsi e in cui nessuna azienda ha una partecipazione prevalente.

Ci sono altri luoghi in cui sono necessarie l'autenticazione e la cooperazione. Per esempio, Gli ISP spesso lavorano insieme su protocolli di routing che dirigono le informazioni su Internet. Ma quel processo in sé non è crittografato ed è soggetto ad attacchi. Questo è un luogo in cui un modello simile a Let's Encrypt potrebbe funzionare bene.

Hai detto che Let's Encrypt è stata un'idea folle nel 2013. Oggi, non sembra così folle. Come si passa da "idea pazza" a "perché non ci ho pensato?"

Halderman:Guardando oltre le solite misure accademiche di successo come il numero di articoli o le startup commerciali. Possiamo farlo in Michigan perché l'impatto nel mondo reale è nel DNA del College of Engineering. E ad essere onesti, Non credo che ci siano molte altre università in cui potrebbe essere successo.

Quando abbiamo iniziato questo progetto, sapevamo che non sarebbe diventato presto un documento accademico tradizionale. Ma la gente qui ha visto che era probabile che fosse prezioso per il mondo, e hanno supportato il lavoro, tutti dai colleghi che mi hanno assunto alla commissione di tesi per il dottorato. studente che ha aiutato a progettare ACME. Quel supporto è stato ciò che ci ha permesso di portare il progetto fino al successo.

La carta, Let's Encrypt:un'autorità di certificazione automatizzata per crittografare l'intero Web, sarà presentato il 14 novembre alla Conferenza ACM sulla sicurezza informatica e delle comunicazioni a Londra.