17.07.16
aggiornato al 28.09.23
Tobias Schüring
1 commento
Indice dei contenuti
Sicurezza di WordPress Piccoli siti web

Let's Encrypt è gratuito, ma non per niente

Ora che sempre più host offrono fortunatamente i certificati Let's Encrypt™, cioè SSL gratuiti, è il momento di dare un'occhiata più da vicino all'iniziativa che sta dietro a questo SSL per tutti. Cosa fa esattamente Let's Encrypt? Perché i certificati sono gratuiti? Cosa può già fare Let's Encrypt e dove deve ancora recuperare? Discutiamo queste e altre domande in questo articolo di approfondimento.

La crittografia del traffico di dati sta diventando sempre più standard in rete. Per fortuna! Dato che abbiamo anche - circa un anno fa - integrato Let's Encrypt, ha senso dare un'occhiata più da vicino al progetto.

Let's Encrypt è un'autorità di certificazione relativamente giovane (la beta è iniziata nel 2015) per i certificati SSL - chiamata anche Certification Authority (CA). L'iniziativa ha creato un processo automatizzato attraverso il quale vengono emessi i certificati SSL. Questi mostrano agli utenti di una pagina che sono sul "vero" sito web e che il traffico di dati tra il browser e il server web è criptato.

Cos'è Let's Encrypt?

I principi chiave di Let's Encrypt sono:

  • Gratuito: Tutti coloro che possiedono un nome di dominio possono usare Let's Encrypt. Inoltre, i certificati Let's Encrypt sono gratuiti.
  • Automatico: il software viene eseguito su un server web e può ottenere certificati con Let's Encrypt, essere protetto per l'uso e rinnovare automaticamente i certificati.
  • Sicurezza: Let's Encrypt fornisce una piattaforma per la sicurezza TLS avanzata, sia a livello di CA che di società operativa, per aiutarle a proteggere il server.
  • Trasparente: Tutti i certificati Let's Encrypt emessi e revocati sono disponibili pubblicamente a tutti.
  • Aprire: Il protocollo di emissione e rinnovo automatico è pubblicato come aperto perché altri possano adattarlo.
  • Cooperativo: Molto simile ai protocolli Internet sottostanti, Let's Encrypt è uno sforzo collaborativo che beneficia la comunità.

Che cos'è Let's Encrypt?

Let's Encrypt è un'autorità di certificazione gratuita, automatica e aperta. Ti dà i certificati digitali di cui hai bisogno per abilitare HTTPS (SSL/TLS) sul tuo sito web - gratuitamente.

Sì, i certificati Let's Encrypt sono davvero gratuiti.

Per prima cosa, la domanda più pressante: Let's Encrypt è davvero gratuito? Per farla breve: Sì, né i certificati né i programmi richiesti costano. Per molte persone, tuttavia, questa domanda non si basa su motivi puramente economici, ma piuttosto sulla questione del perché Let's Encrypt è gratuito. Allora perché un prodotto che altre organizzazioni hanno pagato in precedenza viene improvvisamente offerto gratuitamente?

Lo status di no-profit e gli sponsor rendono Let's Encrypt gratuito

Let's Encrypt è un progetto senza scopo di lucro e difficilmente deve pagare del personale. Inoltre, la maggior parte dei processi sono automatizzati. Questo elimina un grande onere finanziario. L'hardware richiesto è anche ampiamente coperto dalla cooperazione con la Linux Foundation. Tutti gli altri costi sono coperti da sponsorizzazioni e donazioni.

Tutti possono donare qualsiasi somma di denaro all'organizzazione tramite Paypal. Un sistema di sponsorizzazione è stato creato per somme e organizzazioni più grandi. Il pacchetto più costoso costa 350.000 dollari, le aziende più piccole sono dentro per importi tra 10.000 e 50.000 dollari - a seconda del numero di persone impiegate.

Quali sono gli obiettivi di Let's Encrypt?

Let's Encrypt vuole rendere HTTPS il nuovo standard su Internet e offrire a tutti gli utenti del mondo la possibilità di criptare il loro sito web gratuitamente.

Ora, non solo le considerazioni economiche giocano un ruolo in questo contesto, ma anche la questione delle motivazioni degli organizzatori. Da un lato, c'è l'argomento altruistico: HTTPS dovrebbe diventare lo standard su Internet e tutti gli operatori di siti web in tutto il mondo dovrebbero essere messi in grado di adattare il proprio sito web ad esso facilmente e gratuitamente.

È ora che le comunicazioni crittografate diventino l'opzione predefinita sul web e Let's Encrypt ha intenzione di farlo. - Let's Encrypt

La seconda motivazione importante è la volontà di creare uguaglianza in rete. Dopo tutto, la presenza di un certificato SSL è diventata un criterio di ranking per Google. E se certi siti non possono permettersi i certificati o non hanno accesso a questi, ciò esclude questi siti - e quindi certi individui e i loro progetti WordPress - dalla partecipazione su Internet.

Forniamo i certificati gratuitamente, perché il costo esclude le persone. I nostri certificati sono disponibili in tutti i paesi del mondo, perché il web sicuro è per tutti. - Let's Encrypt

L'idea di giustizia e uguaglianza sembra quindi essere l'elemento centrale degli sforzi di Let's Encrypt.

Let's Encrypt è supportato da molti leader del settore

Oltre agli sponsor ufficiali, che includono grandi nomi come Mozilla, Cisco, Chrome e Facebook, le aziende del settore WordPress sono anche tra i sostenitori del progetto Let's Encrypt. Per esempio Automattic o wpbeginner. Queste aziende e organizzazioni in particolare sono un'ottima scelta per Let's Encrypt a causa della loro visione di Internet WordPress e della loro motivazione.

Automattic, a proposito, è uno sponsor d'argento, il che significa un costo annuale di 50.000 dollari. Automattic si è distinta soprattutto per la sua integrazione di default dei certificati Let's Encrypt per i siti gestiti su WordPress.com.

Sponsor di Lets Encrypt
Sponsor platino e oro dell'iniziativa Let's Encrypt dal 2016. Facebook è ora uno sponsor argento, gemalto non compare più nell'elenco degli sponsor attuali.

Let's Encrypt è il progetto, le strutture organizzative sono molto più ampie.

Let's Encrypt stesso è semplicemente il servizio di certificazione, cioè l'autorità che emette i certificati. Il costrutto organizzativo complessivo, tuttavia, è molto più grande. L'organizzazione madre di Let's Encrypt è l'Internet Security Research Group (ISRG), con sede a San Francisco. Il consiglio di questa organizzazione no-profit comprende scienziati, rappresentanti di aziende e rappresentanti di fondazioni e altre organizzazioni no-profit.

Almeno altre due istituzioni sono anche importanti in relazione a Let's Encrypt. In primo luogo, la Electronic Frontier Foundation (EFF), che si occupa di Certbot, il software di certificazione per creare certificati Let's Encrypt, da maggio 2016. L'altra è la Linux Foundation, che fornisce l'infrastruttura tecnica per Let's Encrypt attraverso il tuo programma Collaborative Projects.

Nel complesso, diversi team di organizzazioni no-profit si occupano di Let's Encrypt e della relativa infrastruttura.

Il punto di forza di Let's Encrypt è la sua facilità d'uso.

I tre maggiori punti di forza di Let's Encrypt sono certamente che i certificati sono gratuiti, che Let's Encrypt e il software richiesto sono costantemente sviluppati e migliorati, e che l'impostazione dei certificati è relativamente facile.

Abbiamo già discusso l'aspetto dei certificati gratuiti. Oltre a questo, Let's Encrypt è anche in costante sviluppo. Infine, i certificati sono anche abbastanza facili da impostare per chiunque abbia le competenze e i diritti di accesso appropriati. Anche imparare i passi necessari non è necessariamente difficile. Dovete solo usare Certbot e aggiungere i moduli necessari al vostro server web. I certificati possono poi essere impostati e rinnovati.

Il punto debole di Let's Encrypt è la compatibilità.

Attualmente, la gamma di certificati è molto gestibile con un solo certificato. Questo non cambierà in futuro, perché le convalide estese richieste per i certificati OV o EV non possono essere automatizzate e costano anche. Tuttavia, è proprio l'automazione che rende i certificati Let's Encrypt gratuiti. Le convalide estese sono quindi attualmente difficili da conciliare con l'idea di base di Let's Encrypt, anche se ci sono state idee iniziali su come la convalida potrebbe essere esternalizzata alla comunità, ad esempio. A nostra conoscenza, tuttavia, i piani per l'introduzione di convalide estese non sono ancora stati portati avanti.

Mentre i certificati non sono difficili da integrare per i professionisti, per i non professionisti, o per le persone che hanno solo un accesso limitato al loro server web, può richiedere una quantità di tempo inutile per regolare la configurazione del server per il Certbot, per ordinare i certificati, per integrarli e per rinnovarli regolarmente. In particolare, la durata di un certificato SSL Let's Encrypt è molto più breve di quella di un certificato "normale". I certificati Let's Encrypt devono essere rinnovati ogni 90 giorni. Un certificato SSL classico, d'altra parte, è valido per 12, 24 o anche 36 mesi e di solito non richiede manutenzione tecnica durante questo periodo.

In caso di problemi, sei completamente da solo e non puoi fare uso di alcun servizio di supporto da Let's Encrypt. Tuttavia, c'è un ampio forum di supporto della comunità. Nei primi tempi, la compatibilità dei certificati SSL gratuiti con diversi browser era anche un problema. Nel frattempo, però, tutti i principali browser possono gestire i certificati. In realtà ci sono solo problemi con il software obsoleto.

Quindi, se non hai le competenze necessarie, integrare un certificato da soli, compresi i test, la risoluzione dei problemi e la riparazione, può essere significativamente più costoso che comprare un certificato SSL. Tuttavia, anche questo è ora più di un problema teorico. Perché molti host o supportano una semplice installazione dei certificati con un solo clic, o offrono certificati di base gratuiti da altre autorità di certificazione.

Conclusione: Let's Encrypt ha un obiettivo nobile che dovrebbe essere sostenuto

Secondo Let's Encrypt, vuole rendere Internet più sicuro e più veloce, soprattutto per gli utenti che prima non avevano accesso ai certificati SSL. Per i gestori di siti web professionali, Let's Encrypt ha soprattutto un vantaggio in termini di costi, fiducia e SEO, anche se solo per le convalide dei domini. Non si sa se le convalide estese saranno offerte anche nel prossimo futuro - assumendo che il problema dell'automazione non possa essere risolto.

Tuttavia, l'utilizzo dei certificati non solo fornisce la crittografia gratuita - e per l'uno o per l'altro una comprensione più profonda della sicurezza su Internet - ma sostiene anche indirettamente la buona causa dietro Let's Encrypt. Abbiamo integrato Let's Encrypt principalmente perché crediamo nei benefici del progetto. Perché anche se i certificati sono gratuiti, il loro uso non è gratuito, ma si spera di contribuire a un nuovo standard di sicurezza in rete.

Le tue domande su Let's Encrypt

Se hai ancora domande su Let's Encrypt, dai un'occhiata al nostro articolo di panoramica, dove abbiamo riassunto un sacco di informazioni importanti sui certificati gratuiti. O semplicemente invia la tua domanda come commento sotto questo post.

Immagine contribuita: Unsplash

Ti è piaciuto l'articolo?

Con la tua valutazione ci aiuti a migliorare ancora di più i nostri contenuti. Grazie!

Tobias Schüring

Come amministratore di sistema Tobias sorveglia la nostra infrastruttura e trova ogni vite per ottimizzare le prestazioni dei nostri server. Grazie ai tuoi instancabili sforzi, spesso lo si può trovare di notte su Slack .

Un commento a "Let's Encrypt è gratuito, ma non gratis".

Scrivi un commento

Il tuo indirizzo e-mail non sarà pubblicato. I campi obbligatori sono contrassegnati da *.