Let's Encrypt è gratuito - ma non per niente

Tobias Schüring Ultimo aggiornamento 04.11.2020
6 Min.
Let's Encrypt è gratuito - ma non per niente

Ora che sempre più hoster offrono fortunatamente certificati Let's Encrypt™, cioè SSL gratuiti, è il momento di dare un'occhiata più da vicino all'iniziativa che sta dietro questo SSL per tutti. Cosa fa esattamente Let's Encrypt? Perché i certificati sono gratuiti? Cosa può già fare Let's Encrypt e dove deve ancora recuperare? Discutiamo queste e altre domande in questo articolo di fondo.

La crittografia del traffico di dati sta diventando sempre più standard in rete. Per fortuna! Dato che abbiamo anche - circa un anno fa - integrato Let's Encrypt, ha senso dare un'occhiata più da vicino al progetto.

Let's Encrypt è un'autorità di certificazione relativamente giovane (la beta è iniziata nel 2015) per i certificati SSL - chiamata anche Certification Authority (CA). L'iniziativa ha creato un processo automatizzato attraverso il quale vengono emessi i certificati SSL. Questi mostrano agli utenti di una pagina che sono sul "vero" sito web e che il traffico di dati tra il browser e il server web è criptato.

Cos'è Let's Encrypt?

I principi chiave di Let's Encrypt sono:

  • Gratuito: Tutti coloro che possiedono un nome di dominio possono usare Let's Encrypt. Inoltre, i certificati Let's Encrypt sono gratuiti.
  • Automatico: il software gira su un server web e può ottenere certificati con Let's Encrypt, essere protetto per l'uso e rinnovare automaticamente i certificati.
  • Sicuro: Let's Encrypt fornisce una piattaforma per la sicurezza TLS avanzata, sia sul lato CA che presso la società operativa, per aiutarli a rendere sicuro il server.
  • Trasparente: Tutti i certificati Let's Encrypt emessi e revocati sono disponibili pubblicamente a tutti.
  • Aprire: Il protocollo di emissione e rinnovo automatico è pubblicato come aperto perché altri possano adattarlo.
  • Cooperativo: Molto simile ai protocolli Internet sottostanti, Let's Encrypt è uno sforzo collaborativo che beneficia la comunità.
Cos'è Let's Encrypt in realtà?

Let's Encrypt è un'autorità di certificazione gratuita, automatica e aperta. Ti dà i certificati digitali di cui hai bisogno per abilitare HTTPS (SSL/TLS) sul tuo sito web - gratuitamente.

Sì, i certificati Let's Encrypt sono davvero gratuiti

Per prima cosa, la domanda più pressante: Let's Encrypt è davvero gratuito? Per farla breve: Sì, né i certificati né i programmi richiesti costano. Per molte persone, tuttavia, questa domanda non si basa su motivi puramente economici, ma piuttosto sulla questione del perché Let's Encrypt è gratuito. Allora perché un prodotto che altre organizzazioni hanno pagato in precedenza viene improvvisamente offerto gratuitamente?

Lo status non profit e gli sponsor rendono Let's Encrypt gratuito

Let's Encrypt è un progetto senza scopo di lucro e difficilmente deve pagare del personale. Inoltre, la maggior parte dei processi sono automatizzati. Questo elimina un grande onere finanziario. L'hardware richiesto è anche ampiamente coperto dalla cooperazione con la Linux Foundation. Tutti gli altri costi sono coperti da sponsorizzazioni e donazioni.

Tutti possono donare qualsiasi somma di denaro all'organizzazione tramite Paypal. Un sistema di sponsorizzazione è stato creato per somme e organizzazioni più grandi. Il pacchetto più costoso costa 350.000 dollari, le aziende più piccole sono dentro per importi tra 10.000 e 50.000 dollari - a seconda del numero di persone impiegate.

Quali sono gli obiettivi di Let's Encrypt?

Let's Encrypt vuole rendere HTTPS il nuovo standard su Internet e offrire a tutti gli utenti del mondo la possibilità di criptare il loro sito web gratuitamente.

Ora, non solo le considerazioni economiche giocano un ruolo in questo contesto, ma anche la questione delle motivazioni degli organizzatori. Da un lato, c'è l'argomento altruistico: HTTPS dovrebbe diventare lo standard su Internet e tutti gli operatori di siti web in tutto il mondo dovrebbero essere messi in grado di adattare il proprio sito web ad esso facilmente e gratuitamente.

È tempo che le comunicazioni criptate siano il default sul web e Let's Encrypt lo farà accadere. - Let's Encrypt

La seconda motivazione importante è la volontà di creare uguaglianza in rete. Dopo tutto, la presenza di un certificato SSL è diventata un criterio di ranking per Google. E se certi siti non possono permettersi i certificati o non hanno accesso a questi, ciò esclude questi siti - e quindi certi individui e i loro progetti WordPress - dalla partecipazione su Internet.

Forniamo certificati gratuitamente, perché il costo esclude le persone. I nostri certificati sono disponibili in ogni paese del mondo, perché il web sicuro è per tutti. - Let's Encrypt

L'idea di giustizia e uguaglianza sembra quindi essere l'elemento centrale degli sforzi di Let's Encrypt.

Let's Encrypt è supportato da molti leader del settore

Oltre agli sponsor ufficiali, che includono grandi nomi come Mozilla, Cisco, Chrome e Facebook, le aziende del settore WordPress sono anche tra i sostenitori del progetto Let's Encrypt. Per esempio Automattic o wpbeginner. Queste aziende e organizzazioni in particolare sono un'ottima scelta per Let's Encrypt a causa della loro visione di Internet WordPress e della loro motivazione.

Automattic, a proposito, è uno sponsor d'argento, il che significa un costo annuale di 50.000 dollari. Automattic si è distinta soprattutto per la sua integrazione di default dei certificati Let's Encrypt per i siti ospitati su WordPress .com siti ospitati.

Consente di criptare gli sponsor
Sponsor di platino e oro dell'iniziativa Let's Encrypt dal 2016. Facebook è ora uno sponsor d'argento, Gemalto non appare più nell'elenco degli sponsor attuali.

Let's Encrypt è il progetto, le strutture organizzative sono molto più grandi

Let's Encrypt stesso è semplicemente il servizio di certificazione, cioè l'autorità che emette i certificati. Il costrutto organizzativo complessivo, tuttavia, è molto più grande. L'organizzazione madre di Let's Encrypt è l'Internet Security Research Group (ISRG), con sede a San Francisco. Il consiglio di questa organizzazione no-profit comprende scienziati, rappresentanti di aziende e rappresentanti di fondazioni e altre organizzazioni no-profit.

Almeno altre due istituzioni sono anche importanti in relazione a Let's Encrypt. In primo luogo, la Electronic Frontier Foundation (EFF), che si occupa di Certbot, il software di certificazione per creare certificati Let's Encrypt, da maggio 2016. L'altra è la Linux Foundation, che fornisce l'infrastruttura tecnica per Let's Encrypt attraverso il suo programma Collaborative Projects.

Nel complesso, diversi team di organizzazioni senza scopo di lucro si occupano di Let's Encrypt e dell'infrastruttura corrispondente.

La più grande forza di Let's Encrypt è la sua facilità d'uso

I tre maggiori punti di forza di Let's Encrypt sono certamente che i certificati sono gratuiti, che Let's Encrypt e il software richiesto sono costantemente sviluppati e migliorati, e che l'impostazione dei certificati è relativamente facile.

Abbiamo già discusso l'aspetto dei certificati gratuiti. Oltre a questo, Let's Encrypt è anche in costante sviluppo. Infine, i certificati sono anche abbastanza facili da impostare per chiunque abbia le competenze e i diritti di accesso appropriati. Anche imparare i passi necessari non è necessariamente difficile. Dovete solo usare Certbot e aggiungere i moduli necessari al vostro server web. I certificati possono poi essere impostati e rinnovati.

La più grande debolezza di Let's Encrypt è la compatibilità

Attualmente, la gamma di certificati è molto gestibile con un solo certificato. Questo non cambierà in futuro, perché le convalide estese richieste per i certificati OV o EV non possono essere automatizzate e costano anche. Tuttavia, è proprio l'automazione che rende i certificati Let's Encrypt gratuiti. Le convalide estese sono quindi attualmente difficili da conciliare con l'idea di base di Let's Encrypt, anche se ci sono state idee iniziali su come la convalida potrebbe essere esternalizzata alla comunità, per esempio. A nostra conoscenza, tuttavia, i piani per l'introduzione di convalide estese non sono ancora stati portati avanti.

Mentre i certificati non sono difficili da integrare per i professionisti, per i non professionisti, o per le persone che hanno solo un accesso limitato al loro server web, può richiedere una quantità di tempo inutile per regolare la configurazione del server per il Certbot, per ordinare i certificati, per integrarli e per rinnovarli regolarmente. In particolare, la durata di un certificato SSL Let's Encrypt è molto più breve di quella di un certificato "normale". I certificati Let's Encrypt devono essere rinnovati ogni 90 giorni. Un certificato SSL classico, d'altra parte, è valido per 12, 24 o anche 36 mesi e di solito non richiede manutenzione tecnica durante questo periodo.

In caso di problemi, sei completamente da solo e non puoi fare uso di alcun servizio di supporto da Let's Encrypt. Tuttavia, c'è un ampio forum di supporto della comunità. Nei primi tempi, la compatibilità dei certificati SSL gratuiti con diversi browser era anche un problema. Nel frattempo, però, tutti i principali browser possono gestire i certificati. In realtà ci sono solo problemi con il software obsoleto.

Quindi, se non avete le competenze necessarie, integrare un certificato da soli, compresi i test, la risoluzione dei problemi e la riparazione, può essere significativamente più costoso che comprare un certificato SSL. Tuttavia, anche questo è ora più di un problema teorico. Perché molti hoster o supportano una semplice installazione dei certificati con un solo clic, o offrono certificati di base gratuiti da altre autorità di certificazione.

Conclusione: Let's Encrypt ha un obiettivo nobile che dovrebbe essere sostenuto

Secondo Let's Encrypt, vuole rendere Internet più sicuro e più veloce, soprattutto per gli utenti che prima non avevano accesso ai certificati SSL. Per i gestori di siti web professionali, Let's Encrypt ha soprattutto un vantaggio in termini di costi, fiducia e SEO, anche se solo per le convalide dei domini. Non si sa se le convalide estese saranno offerte anche nel prossimo futuro - assumendo che il problema dell'automazione non possa essere risolto.

Tuttavia, l'utilizzo dei certificati non solo fornisce la crittografia gratuita - e per l'uno o per l'altro una comprensione più profonda della sicurezza su Internet - ma sostiene anche indirettamente la buona causa dietro Let's Encrypt. Abbiamo integrato Let's Encrypt principalmente perché crediamo nei benefici del progetto. Perché anche se i certificati sono gratuiti, il loro uso non è gratuito, ma si spera di contribuire a un nuovo standard di sicurezza in rete.

Le tue domande su Let's Encrypt

Se hai ancora domande su Let's Encrypt, dai un'occhiata al nostro articolo di panoramica, dove abbiamo riassunto un sacco di informazioni importanti sui certificati gratuiti. O semplicemente invia la tua domanda come commento sotto questo post.

Immagine contribuita: Unsplash

Articoli correlati

Commenti su questo articolo

Scrivi un commento

Il tuo indirizzo e-mail non sarà pubblicato. I campi obbligatori sono contrassegnati con *.