Let's Encrypt: 1 miliardo di certificati TLS

Qualche giorno fa il team di Let's Encrypt, nota Certificate authority non profit, ha annunciato di aver emesso il suo miliardesimo certificato di sicurezza.

A rendere noto questo risultato alla community sono stati l'Executive Director Josh Aas ed il VP Communications Sarah Gran tramite un articolo sul blog ufficiale della società:

Il 27 febbraio 2020 abbiamo emesso il nostro miliardesimo certificato. Vogliamo utilizzare questo grande risultato per riflettere su come siamo cresciti e sul modo in cui è cambiato Internet.

Secondo i dati di Let's Encrypt, in questi anni il web è diventato relativamente più sicuro grazie all'uso massiccio delle tecnologie crittografiche e dei certificati di sicurezza. Ad esempio, sempre secondo le stime di Let's Encrypt, nel giugno del 2017 solo il 58% dei siti internet veniva caricato tramite il protocollo HTTPS. Oggi invece questa percentuale è arrivata all'81%. Dal 2017 ad oggi anche Let's Encrypt è crescita notevolmente, come sottolineato dagli stessi Aas e Gran:

Tre anni fa l'authority serviva circa 46 milioni di siti web con appena 11 dipendenti a tempo pieno e un budget annuale di circa 2.61 milioni di dollari. Oggi invece si affidano a Let's Encrypt quasi 192 milioni di siti, i dipendenti a tempo pieno sono saliti a 13 ed il budget annuale è lievitato a 3.35 milioni di dollari. Questo significa che la società serve il quadruplo dei progetti rispetto al 2017 con appena il 28% del budget in più. Il personale e il budget aggiuntivo ci hanno permesso di migliorare notevolmente il nostro servizio, rendendolo più sicuro e più affidabile.

Let's Encrypt è cresciuta molto in questi anni anche grazie all'introduzione di ACME (Automatic Certificate Management Environment), ovvero un protocollo di comunicazione diventato standard nel 2019 e pensato per automatizzare le interazioni tra le varie Certificate authority, le compagnie abilitate ad emettere i certificati di sicurezza, e i Web server.

La crescita di Let's Encrypt è stata aiutata anche dalla rinnovata sensibilità sui temi della sicurezza e della privacy da parte dei team dei browser web. Dal 1° settembre 2020 il browser Safari non accetterà più certificati HTTPS con una durata superiore ai 13 mesi, Firefox invece utilizza di base il protocollo DNS-over-HTTPS per la gestione delle query DNS e Chrome ha iniziato a bloccare i "mixed content" delle pagine HTTPS.

Tutti questi cambiamenti stanno spingendo i gestori dei servizi web ad aggiornare l'infrastruttura dei propri siti e ad adottare dei protocollo di sicurezza basasi sui certificati SSL/TLS.