• Home
  • Química
  • Astronomía
  • Energía
  • Naturaleza
  • Biología
  • Física
  • Electrónica
  • Cómo Lets Encrypt duplicó el porcentaje de sitios web seguros en Internet en cuatro años

    Crédito:CC0 Public Domain

    El porcentaje de sitios web protegidos con cifrado seguro HTTPS, indicado por el icono de candado en la barra de direcciones de la mayoría de los navegadores, ha aumentado de poco más del 40% en 2016 al 80% en la actualidad.

    Eso se debe en gran parte a los esfuerzos de Let's Encrypt, una autoridad de certificación sin fines de lucro cofundada en 2013 por J. Alex Halderman, profesor de informática e ingeniería de la Universidad de Michigan.

    Ofreciendo un servicio gratuito, Let's Encrypt ha convertido la implementación de HTTPS en algo costoso y proceso complicado a un paso fácil que está al alcance de todos los sitios web. La autoridad de certificación es ahora la más grande del mundo, proporcionando más certificados HTTPS que todas las demás autoridades de certificación combinadas.

    Halderman y sus colaboradores en Let's Encrypt, la Electronic Frontier Foundation, Mozilla, Cisco y la Universidad de Stanford:han publicado un artículo que detalla cómo se concretó el proyecto. Esperan que sirva de modelo para optimizar otros aspectos de la infraestructura de Internet en la que todos confiamos todos los días.

    ¿Qué es exactamente una autoridad certificadora HTTPS?

    Halderman:HTTPS es el protocolo que utilizan los navegadores web para comunicarse con los servidores web a través de una conexión cifrada. Proporciona confidencialidad al evitar que los espías entiendan los datos. Proporciona integridad al evitar que las redes maliciosas cambien los datos. Y proporciona autenticación al garantizar que está hablando con el servidor que se muestra en la barra de direcciones del navegador en lugar de un impostor. Esa última parte es fundamental. Si HTTPS no tenía autenticación, un atacante podría redirigir la conexión a un servidor que controlan y leer o alterar los datos.

    La autenticación también es la parte complicada, y ahí es donde entran en juego las autoridades de certificación. Son un pequeño grupo de organizaciones en las que los navegadores web confían para dar fe de la identidad de los servidores. Para implementar HTTPS, un sitio web primero tiene que demostrarle a una autoridad de certificación que realmente es el servidor en un dominio de Internet en particular. Luego, la autoridad de certificación emite al sitio un certificado firmado digitalmente, que funciona como una licencia de conducir para permitir que los navegadores confirmen su identidad.

    ¿Por qué es importante el cifrado en sitios web que no manejan información confidencial?

    Halderman:Cuando se inventó HTTPS en la década de 1990, estaba destinado principalmente a transacciones con tarjetas de crédito y banca en línea. Pero desde entonces Internet se ha convertido en un lugar mucho más peligroso. Edward Snowden nos mostró que los gobiernos estaban vigilando el tráfico a escala global. También hemos visto casos en los que los gobiernos y otros han cambiado el tráfico de Internet para atacar la computadora del usuario, o utilizar su computadora para atacar a terceros.

    Así que hoy, El cifrado es importante no solo para las transacciones financieras, sino también para todas las comunicaciones en línea. Por eso es importante que sea accesible para todos los operadores de sitios web, y Let's Encrypt está haciendo precisamente eso. Ha sido particularmente bueno para impulsar la adopción de HTTPS en sitios web más pequeños que no tienen los recursos para obtener un certificado a través del proceso tradicional.

    ¿Por qué HTTPS ha sido tan difícil de implementar?

    Halderman:Tradicionalmente, la implementación de HTTPS ha requerido que los operadores de sitios web elijan una autoridad de certificación, probarles su identidad, pagar unos pocos cientos de dólares por un certificado, espera a que llegue, luego siga una serie de pasos complicados para instalarlo. Tienes que repetir el proceso cada año o dos, y si no lo haces a tiempo su sitio web podría dejar de funcionar. Muchos sitios web particularmente los más pequeños, acaba de dejar sus sitios sin cifrar.

    Let's Encrypt es un tipo diferente de autoridad de certificación que proporciona certificados gratuitos a través de un proceso automatizado que a menudo solo requiere un clic. ya veces es una parte automática de la configuración del sitio web. Eso ha impulsado un gran aumento en la cantidad de sitios seguros.

    ¿Cómo puede Let's Encrypt proporcionar certificados de forma gratuita?

    Halderman:Primero, Let's Encrypt es una organización sin fines de lucro y se financia principalmente con donaciones de grandes empresas de tecnología. Eso es diferente a la mayoría de las autoridades de certificación. En segundo lugar, y tal vez de forma contraria a la intuición, Hacer que los certificados sean gratuitos reduce drásticamente el costo de su emisión. El pago es una gran fuente de fricción que hace que el proceso sea mucho más difícil de automatizar.

    Entonces, una vez que eliminas esa fricción, los certificados se vuelven mucho más sencillos de emitir. Una vez que simplificamos el proceso, pudimos automatizarlo construyendo un sistema de software llamado protocolo ACME. ACME reduce el costo de cada certificado que Let's Encrypt emite a una fracción de centavo.

    ¿Por qué sale el primer artículo de su equipo sobre Let's Encrypt cuatro años después de su lanzamiento?

    Halderman:Porque crear un nuevo tipo de autoridad de certificación que otorgue certificados gratuitos fue una idea loca. Si hubiéramos escrito el papel antes de construirlo, no se habría publicado. Tuvimos que demostrar que la economía funcionaría, y no había forma de hacerlo excepto simplemente construirlo.

    Cuatro años después, Let's Encrypt ha tenido un gran éxito. Y espero que este papel que analiza cómo lo creamos y mide su impacto en la Web, puede ayudar a difundir algunas de las lecciones que hemos aprendido para ayudar a que otras partes de la infraestructura de Internet funcionen mejor.

    ¿Cuáles son algunas de esas lecciones y cómo pueden ayudar en otras áreas?

    Halderman:Parte de lo que hace que Let's Encrypt funcione es que es una parte neutral que opera en el interés público en lugar de un producto de una gran empresa de tecnología. Eso lo convierte en algo en lo que todos pueden confiar y en lo que ninguna empresa tiene un interés primordial.

    Hay otros lugares donde la autenticación y la cooperación son necesarias. Por ejemplo, Los ISP a menudo trabajan juntos en protocolos de enrutamiento que dirigen la información a través de Internet. Pero ese proceso en sí no está encriptado y está sujeto a ataques. Ese es un lugar donde un modelo similar a Let's Encrypt podría funcionar bien.

    Mencionaste que Let's Encrypt era una idea loca en 2013. Hoy, no parece tan loco. ¿Cómo se pasa de "idea loca" a "por qué no pensé en eso?"

    Halderman:Mirando más allá de las medidas académicas habituales de éxito, como el número de artículos o la puesta en marcha comercial. Podemos hacer eso en Michigan porque el impacto en el mundo real está en el ADN de la Facultad de Ingeniería. Y para ser honesto No creo que haya muchas otras universidades donde esto podría haber sucedido.

    Cuando comenzamos este proyecto, sabíamos que no se convertiría en un artículo académico tradicional en el corto plazo. Pero la gente de aquí vio que probablemente sería valioso para el mundo, y apoyaron el trabajo, todos, desde los colegas que me asignaron hasta el comité de tesis para el doctorado. estudiante que ayudó a diseñar ACME. Ese apoyo fue lo que nos permitió llevar el proyecto hasta el final del éxito.

    El papel, Let's Encrypt:una autoridad de certificación automatizada para cifrar toda la web, se presentará el 14 de noviembre en la Conferencia ACM sobre seguridad informática y de comunicaciones en Londres.


    © Ciencia https://es.scienceaq.com