Cinque mesi Let's Encrypt: ecco l'autorità di certificazione della California oggi

Tobias Schüring Ultimo aggiornamento 21.01.2020
7 Min.
Autorità di certificazione Autorità di licenza

I certificati SSL gratuiti di Let's Encrypt hanno innescato un importante sviluppo sul mercato tedesco dell'hosting: La protezione dei dati personali sul proprio sito web è ormai quasi ovunque gratuita. Ma come è andata finora l'iniziativa, che rilascia certificati SSL gratuiti per tutti come Certification Authority? Uno sguardo dettagliato allo sviluppo.

Un certificato SSL porta molti vantaggi, al più tardi dall'introduzione dello standard HTTP/2. Non solo i dati personali sono criptati in modo affidabile, ma il sito web si carica anche più velocemente. Inoltre, HTTPS - la variante sicura dell'Hypertext Transfer Protocol - rende i siti web a prova di futuro. Perché l'8 settembre, Google ha annunciato che a partire dal 2017, Chrome contrassegnerà i siti web senza un certificato SSL come insicuri. Google si avvicina così sempre più al suo obiettivo auto-dichiarato di "HTTPS ovunque".

Autorità di certificazione Let's Encrypt - Marcatura HTTPS di Google Chrome
Con il nuovo display, anche le pagine di fornitori assolutamente affidabili verrebbero fornite con un segnale di avvertimento rosso. Con media come t3n, questo di solito non è un problema perché i lettori si fidano del mezzo. Tuttavia, l'avviso di Google può costare alle pagine meno conosciute lettori e clienti.

Let's Encrypt gioca un ruolo importante in questo contesto. L'iniziativa californiana rilascia certificati SSL gratuiti a tutti. Questo rende possibile per ogni operatore di siti di impostare SSL gratuitamente e anche in modo relativamente facile. E la Certification Authority americana ha già avuto un impatto sul mercato tedesco dell'hosting. Perché molti hoster offrono già certificati gratuiti. Alcuni hanno integrato Let's Encrypt, altri offrono certificati gratuiti di altri fornitori.

Il successo di Let's Encrypt non è quindi rilevante solo per gli operatori di siti, ma anche per il mercato tedesco dell'hosting.

Let's Encrypt ha emesso più di 10.000.000 di certificati fino ad oggi

Da quando Let's Encrypt è stato lanciato ufficialmente a maggio di quest'anno, le pietre miliari sono arrivate in fretta e furia: Due milioni, cinque milioni, poi recentemente il decimilionesimo certificato. Ma questi numeri non sono sinonimo di dieci milioni di siti criptati tramite i certificati Let's Encrypt. Piuttosto, bisogna avvicinarsi al numero reale da più parti.

Già il 23 aprile 2016, cioè pochi giorni prima del lancio ufficiale, Let's Encrypt ha potuto emettere il suo due milionesimo certificato. Solo 19 giorni dopo, il 9 maggio, è stato raggiunto il traguardo dei tre milioni. Il 3 giugno, c'erano già quattro milioni di certificati, e il 19 giugno è stata raggiunta la soglia dei cinque milioni. Alla fine di luglio ce n'erano sette milioni, e attualmente Let's Encrypt ha emesso 10,86 milioni di certificati, più del doppio che a metà giugno. Sembra un inizio brillante. Ma cosa c'è in realtà dietro questo numero?

Numero di certificati SSL gratuiti dell'autorità di certificazione Let's Encrypt
In agosto e settembre, il numero di certificati emessi da Let's Encrypt è aumentato particolarmente forte. Questo è probabilmente dovuto alla durata di 90 giorni dei certificati SSL gratuiti. Il lancio ufficiale sul mercato è avvenuto nel maggio 2016. Fonte: https://letsencrypt.org/stats/

Dei dieci milioni di certificati emessi, quasi la metà è scaduta

Il numero 10.000.000 inizialmente dice molto poco. Perché contiene dati spazzatura: i rinnovi dei certificati, le certificazioni multiple e i certificati scaduti sono contati. Se sai anche che il ciclo di rinnovo dei certificati Let's Encrypt è di 90 giorni, il numero diventa sempre più relativo.

Più informativo è il numero di certificati attualmente validi: Let's Encrypt conta attualmente 5,51 milioni di certificati validi. Questo non significa che ci sono effettivamente così tanti siti che sono criptati con Let's Encrypt. Ma il numero dà già un primo valore approssimativo.

Certificati validi dell'autorità di certificazione Let's Encrypt
Si può vedere chiaramente che il numero di certificati Let's Encrypt validi è aumentato solo moderatamente da agosto a settembre. A settembre, ha addirittura ristagnato. Questo indica anche che molti certificati sono stati rinnovati in agosto e settembre. Fonte: https://letsencrypt.org/stats/

Il 7,88% dei certificati gira su siti .de

Secondo la documentazione di Let's Encrypts, il 7,88% dei certificati gira su domini di primo livello .de. Tuttavia, il campione e la popolazione su cui si basa questa cifra, o a cui questa cifra può essere riferita, non sono specificati. Questo rende l'interpretazione abbastanza difficile, perché non si sa nulla su come si è arrivati a questa cifra. Si può probabilmente supporre che sia il numero di siti da cui Let's Encrypt conosce il TLD.

Tuttavia, si può trarre una conclusione da questo: Con 28.083 pagine contate, il italiani dominio di primo livello è il TLD con il codice paese più forte. Seguono .ru, .uk, .fr e anche .cz. Più popolari sono i TLD non specifici di un paese come .com ma anche .ninja, di cui l'Autorità di Certificazione conta 30.967.

Quote dei TLD nei certificati Let's Encrypt conosciuti
Numero di certificati per domini di primo livello. .de è attualmente il TLD più popolare. Sono popolari anche .ninja, .me e .io. I valori si riferiscono probabilmente a tutti i siti i cui TLD sono noti all'autorità di certificazione. Fonte: https://letsencrypt.org/stats/

Let's Encrypt è al 14° posto nel mondo

Un'altra buona fonte sono i dati di w3techs.com. Il servizio raccoglie, sulla base dei primi dieci milioni di siti web nel mondo rilasciati da Alexa, le quote di alcune tecnologie Internet. I siti web corrispondenti sono ricercati specificamente per certe tecnologie. Se viene raggiunto un successo, questo viene incluso nel conteggio. Puoi scoprire di più sul campione utilizzato qui.

Secondo w3techs, Let's Encrypt è attualmente ancora un'autorità di certificazione molto piccola con una quota di mercato dello 0,185% ed è nel terzo inferiore del mercato. Anche se si guarda solo alle autorità di certificazione che hanno meno dell'uno per cento di quota di mercato, Let's Encrypt finisce in fondo alla lista. Sia in termini di utilizzo assoluto che di quota di mercato.

Quota di mercato dell'autorità di certificazione Let's Encrypt
Dall'inizio della beta, Let's Encrypt ha potuto guadagnare costantemente quote di mercato. Tuttavia, il grande colpo, cioè il passaggio alla crescita esponenziale, è ancora lungo. Fonte: https://w3techs.com/technologies/details/sc-letsencrypt/all/all

Tuttavia, IdenTrust, l'autorità di certificazione che fornisce i certificati radice per Let's Encrypt, è al terzo posto. Questo è un buon segno. Perché se la fonte dei certificati radice gode di un'alta affidabilità, allora anche i servizi basati su questi certificati radice tendono ad essere affidabili.

L'autorità di certificazione Let's Encrypt rispetto ad altre CA
Let's Encrypt è chiaramente molto indietro al terzultimo posto tra le autorità di certificazione. IdenTrust, invece, può assicurarsi il terzo posto. Va notato, tuttavia, che non sono disponibili informazioni sulla completezza di questa lista di fornitori. Fonte: https://w3techs.com/technologies/overview/ssl_certificate/all

Soprattutto i siti più piccoli con meno traffico usano Let's Encrypt

Il più grande svantaggio di Let's Encrypt rispetto alle autorità di certificazione a pagamento è ancora la selezione di certificati molto limitata. Questo perché l'autorità di certificazione statunitense offre solo un tipo di certificato finora: un certificato convalidato dal dominio. Le funzioni estese, come la famosa linea verde dell'indirizzo e le convalide estese - ad esempio di un'azienda o un'organizzazione - non sono attualmente possibili con Let's Encrypt. Naturalmente, questo non significa che i certificati Let's Encrypt siano meno sicuri, solo che la loro gamma di funzioni è limitata.

Esempio di una certificazione OV
Let's Encrypt, per esempio, non può emettere tali certificati. Se arriveranno mai livelli di convalida più alti è attualmente ancora incerto.

Un'implementazione delle funzioni estese non è attualmente in vista. Questo perché la convalida delle organizzazioni e delle aziende richiede ore di lavoro e queste a loro volta costano. Una discussione dettagliata su questo può essere trovata anche nel forum di Let's Encrypt.

Ergo, soprattutto i siti più piccoli usano Let's Encrypt, che può benissimo fare a meno della validazione avanzata. I dati di w3techs mostrano chiaramente che Let's Encrypt è attualmente utilizzato principalmente da siti con traffico medio-basso. I più grandi attori del mercato, d'altra parte, tendono a servire siti con traffico medio. Questo perché queste autorità di certificazione sono aziende orientate al profitto che logicamente vogliono conquistare come clienti i grandi siti e quindi quelli che spendono di più.

Scatterplot del campo fornitore Autorità di certificazione
Questo grafico mostra la classifica attuale dell'autorità di certificazione Let's Encrypt rispetto agli altri giocatori. Da notare: sia Let's Encrypt che IdenTrust sono usati di più nella zona a basso traffico. Fonte: https://w3techs.com/technologies/details/sc-letsencrypt/all/all

Conclusione: Let's Encrypt ha ancora un enorme potenziale secondo me

Per uno sguardo nella sfera di cristallo, sono meno interessanti i dati sulle pagine con certificato SSL, ma piuttosto le pagine che non hanno ancora un certificato SSL. Secondo w3techs, è il 30,8% delle pagine. Mentre le ragioni per non avere un certificato SSL non sono suddivise per questi siti - per una buona percentuale di loro, penso che il costo combinato con gli ostacoli tecnici sono probabilmente gli ostacoli principali.

Entrambi sono ora molto semplificati da Let's Encrypt e dalla sua integrazione nelle interfacce utente, per esempio nelle dashboard dei fornitori di hosting. Più l'iniziativa californiana diventa familiare, più piccolo dovrebbe diventare il numero di siti che non hanno un certificato SSL.

Finora, sembra che Let's Encrypt non sia ancora riuscito a passare alla crescita esponenziale. Questo potrebbe cambiare nel 2017, quando Chrome inizierà a contrassegnare i siti web senza HTTPS. Inoltre, il comportamento di altri fornitori di browser su questa questione avrà un impatto in futuro. Tuttavia, lo sviluppo che Let's Encrypt ha iniziato è da accogliere con favore in ogni caso, sia per i gestori di siti che per i fornitori di hosting.

Usate già un certificato Let's Encrypt o avete avuto esperienze con esso? Condividi le tue conoscenze con noi e con gli altri utenti. Come Sys-Admin di RAIDBOXES sono anche felice di rispondere alle tue domande su SSL.

Articoli correlati

Commenti su questo articolo

Scrivi un commento

Il tuo indirizzo e-mail non sarà pubblicato. I campi obbligatori sono contrassegnati con *.