Cinco meses Let's Encrypt: Aquí está la Autoridad de Certificación de California hoy

Tobias Schüring Última actualización 21.01.2020
7 min.
Autoridad de certificación Permite a la autoridad

Los certificados SSL gratuitos de Let's Encrypt han desencadenado un importante desarrollo en el mercado de alojamiento alemán: La protección de los datos personales en el propio sitio web está ahora en casi todas partes gratis . Pero, ¿cómo le ha ido hasta ahora a la iniciativa, que emite certificados SSL gratuitos para todo el mundo como Autoridad de Certificación? Una mirada detallada al desarrollo.

Un certificado SSL aporta muchas ventajas, a más tardar desde la introducción del estándar HTTP/2. Los datos personales no sólo están encriptados de forma fiable, sino que el sitio web se carga más rápidamente. Además, HTTPS -la variante segura del Protocolo de Transferencia de Hipertexto- hace que los sitios web estén preparados para el futuro. Porque el 8 de septiembre, Google anunció que a partir de 2017, Chrome marcará los sitios web sin certificado SSL como inseguros. De este modo, Google se acerca cada vez más a su objetivo autodeclarado de "HTTPS en todas partes".

Autoridad de certificación Let's Encrypt - Marcado HTTPS de Google Chrome
Con la nueva pantalla, incluso las páginas de proveedores absolutamente fiables recibirían una señal de advertencia roja. Con medios como t3n, esto no suele ser un problema porque los lectores confían en el medio. Sin embargo, el aviso de advertencia de Google puede costar lectores y clientes a las páginas menos conocidas.

Let's Encrypt juega un papel importante en este contexto. La iniciativa de California emite certificados SSL gratuitos para todo el mundo. Esto hace posible que cada operador de sitios web pueda configurar el SSL gratis y también de forma relativamente sencilla. Y la Autoridad de Certificación estadounidense ya ha hecho mella en el mercado de alojamiento alemán. Porque muchos hoster ya ofrecen certificados gratuitos. Algunos han integrado Let's Encrypt, otros ofrecen certificados gratuitos de otros proveedores.

Por lo tanto, el éxito de Let's Encrypt no sólo es relevante para los operadores de sitios web, sino también para el mercado de alojamiento alemán.

Let's Encrypt ha emitido más de 10.000.000 de certificados hasta la fecha

Desde el lanzamiento oficial de Let's Encrypt en mayo de este año, los hitos se han ido sucediendo: Dos millones, cinco millones y, recientemente, el certificado número diez millones. Pero estas cifras no son sinónimo de diez millones de sitios encriptados a través de los certificados Let's Encrypt. Más bien, hay que acercarse al número real desde varios lados.

Ya el 23 de abril de 2016, es decir, unos días antes del lanzamiento oficial, Let's Encrypt logró emitir su certificado número dos millones. Sólo 19 días después, el 9 de mayo, se alcanzaron los tres millones. El 3 de junio ya había cuatro millones de certificados, y el 19 de junio se superó la barrera de los cinco millones. A finales de julio había siete millones, y actualmente Let's Encrypt ha emitido 10,86 millones de certificados, más del doble que a mediados de junio. Parece un comienzo brillante. Pero, ¿qué hay realmente detrás de esta cifra?

Número de certificados SSL gratuitos de la Autoridad de Certificación Let's Encrypt
En agosto y septiembre, el número de certificados emitidos por Let's Encrypt aumentó con especial intensidad. Esto se debe probablemente al plazo de 90 días de los certificados SSL gratuitos. El lanzamiento oficial al mercado fue en mayo de 2016. Fuente: https://letsencrypt.org/stats/

De los diez millones de certificados emitidos, casi la mitad han caducado

La cifra de 10.000.000 dice inicialmente muy poco. Porque contiene datos basura: se cuentan las renovaciones de certificados, las certificaciones múltiples y los certificados caducados. Si además sabes que el ciclo de renovación de los certificados Let's Encrypt es de 90 días, la cifra se vuelve cada vez más relativa.

Más informativo es el número de certificados actualmente válidos: Let's Encrypt cuenta actualmente con 5,51 millones de certificados válidos. Esto no significa que en realidad haya tantos sitios encriptados con Let's Encrypt. Pero el número ya da un primer valor aproximado.

Certificados válidos de la Autoridad de Certificación Let's Encrypt
Se puede ver claramente que el número de certificados Let's Encrypt válidos aumentó sólo moderadamente de agosto a septiembre. En septiembre, incluso se estancó. Esto también indica que muchos certificados se renovaron en agosto y septiembre. Fuente: https://letsencrypt.org/stats/

El 7,88 por ciento de los certificados funcionan en sitios .de

Según la propia documentación de Let's Encrypts, el 7,88 por ciento de los certificados funcionan en dominios de primer nivel .de. Sin embargo, no se especifica la muestra ni la población en la que se basa esta cifra, o con la que se puede relacionar. Esto hace que la interpretación sea bastante difícil, porque no se sabe nada sobre cómo se llegó a la cifra. Probablemente se puede asumir que es el número de sitios de los que Let's Encrypt conoce el TLD.

Sin embargo, se puede sacar una conclusión de esto: El dominio de primer nivel españoles es el TLD de código de país más fuerte, con 28.083 páginas contabilizadas. Le siguen .ru, .uk, .fr y también .cz. Más populares son los TLD de código de país como .com, pero también .ninja, del que la Autoridad de Certificación cuenta con 30.967.

Acciones de los TLDs en los certificados conocidos de Let's Encrypt
Número de certificados por dominios de primer nivel. .de es actualmente el TLD más popular. También son populares .ninja, .me y .io. Los valores se refieren probablemente a todos los sitios cuyos TLD son conocidos por la Autoridad de Certificación. Fuente: https://letsencrypt.org/stats/

Let's Encrypt ocupa el puesto 14 del mundo

Otra buena fuente son los datos de w3techs.com. El servicio recoge, a partir de los diez millones de sitios web más importantes del mundo publicados por Alexa, las cuotas de determinadas tecnologías de Internet. Los sitios web correspondientes se buscan específicamente para determinadas tecnologías. Si se consigue un acierto, éste se incluye en el recuento. Puede obtener más información sobre la muestra utilizada aquí.

Según w3techs, Let's Encrypt sigue siendo actualmente una autoridad de certificación muy pequeña, con una cuota de mercado del 0,185 por ciento y se encuentra en el tercio inferior del mercado. Incluso si sólo se mira a las autoridades de certificación que tienen menos del uno por ciento de cuota de mercado, Let's Encrypt termina al final de la lista. Tanto en términos de uso absoluto como de cuota de mercado.

Cuota de mercado de la autoridad de certificación Let's Encrypt
Desde el inicio de la beta, Let's Encrypt ha conseguido ganar constantemente cuota de mercado. Sin embargo, el gran golpe, es decir, la transición al crecimiento exponencial, aún tarda en llegar. Fuente: https://w3techs.com/technologies/details/sc-letsencrypt/all/all

Sin embargo, IdenTrust, la autoridad de certificación que suministra los certificados raíz para Let's Encrypt, ocupa el tercer lugar. Esto es una buena señal. Porque si la fuente de los certificados raíz goza de gran confianza, los servicios basados en estos certificados raíz también tienden a ser de confianza.

La Autoridad de Certificación Let's Encrypt comparada con otras CAs
Let's Encrypt se encuentra claramente por detrás, en el antepenúltimo lugar entre las Autoridades de Certificación. IdenTrust, por su parte, puede asegurarse el tercer puesto. No obstante, hay que señalar que no se dispone de información sobre la exhaustividad de esta lista de proveedores. Fuente: https://w3techs.com/technologies/overview/ssl_certificate/all

Especialmente los sitios más pequeños con menos tráfico utilizan Let's Encrypt

La mayor desventaja de Let's Encrypt en comparación con las autoridades de certificación de pago sigue siendo la limitada selección de certificados. Esto se debe a que la autoridad de certificación estadounidense sólo ofrece un tipo de certificado hasta ahora: uno validado por el dominio. Las funciones ampliadas, como la famosa línea de dirección verde y las validaciones ampliadas -por ejemplo, de una empresa o una organización- no son posibles actualmente con Let's Encrypt. Por supuesto, esto no significa que los certificados Let's Encrypt sean menos seguros, sólo que su gama de funciones es limitada.

Ejemplo de certificación OV
Let's Encrypt, por ejemplo, no puede emitir este tipo de certificados. En la actualidad, no se sabe si los niveles de validación serán más altos.

En la actualidad no está prevista la implementación de funciones ampliadas. Esto se debe a que la validación de las organizaciones y empresas requiere horas de trabajo y éstas a su vez cuestan dinero. En el foro de Let's Encrypt también se puede encontrar una discusión detallada sobre esto.

Ergo, principalmente los sitios más pequeños utilizan Let's Encrypt, que bien puede prescindir de la validación avanzada. Los datos de w3techs muestran claramente que Let's Encrypt es actualmente utilizado principalmente por sitios con un tráfico bajo o medio. Los mayores actores del mercado, en cambio, tienden a servir a sitios con un tráfico medio. Esto se debe a que estas autoridades de certificación son empresas con ánimo de lucro que, lógicamente, quieren ganarse como clientes a los sitios grandes y, por lo tanto, que gastan mucho.

Diagrama de dispersión del campo del proveedor Autoridad de certificación
Este gráfico muestra la clasificación actual de la Autoridad de Certificación Let's Encrypt en comparación con otros actores. Nota: Tanto Let's Encrypt como IdenTrust se utilizan más en la zona de poco tráfico. Fuente: https://w3techs.com/technologies/details/sc-letsencrypt/all/all

Conclusión: Let's Encrypt sigue teniendo un gran potencial en mi opinión

Para echar un vistazo a la bola de cristal, lo interesante no son los datos sobre las páginas con certificado SSL, sino las páginas que aún no lo tienen. Según w3techs, eso supone el 30,8% de las páginas. Aunque las razones para no tener un certificado SSL no están desglosadas para estos sitios - para un buen porcentaje de ellos, creo que el coste combinado con los obstáculos técnicos son probablemente los principales obstáculos.

Ambas cosas se han simplificado enormemente gracias a Let's Encrypt y a su integración en las interfaces de usuario, por ejemplo en los paneles de control de los proveedores de alojamiento. Cuanto más conocida sea la iniciativa californiana, menor debería ser el número de sitios que no tienen un certificado SSL.

Hasta el momento, parece que Let's Encrypt no ha conseguido pasar a un crecimiento exponencial. Esto podría cambiar en 2017, cuando Chrome empiece a marcar los sitios web sin HTTPS. Además, el comportamiento de otros proveedores de navegadores en este asunto tendrá un impacto en el futuro. Sin embargo, el desarrollo que Let's Encrypt ha iniciado es de agradecer en cualquier caso, tanto para los operadores de sitios como para los proveedores de alojamiento.

¿Ya está usando un certificado de Let's Encrypt o ha tenido experiencias con él? Comparta su conocimiento con nosotros y con otros usuarios. Como administrador del sistemas de RAIDBOXES SSL, también estaré encantado de responder a tus preguntas sobre SSL.

Como administrador de sistemas, Tobias vigila nuestra infraestructura y encuentra cada tornillo para optimizar el rendimiento de nuestros servidores. Debido a sus incansables esfuerzos, a menudo se le puede encontrar por la noche en Slack.

Artículos relacionados

Comentarios sobre este artículo

Escribe un comentario

Tu dirección de correo electrónico no se publicará. Los campos obligatorios están marcados con *.