EN Contattaci

Let's Encrypt: la CA gratuita che ha portato HTTPS ovunque

Let's Encrypt (GA aprile 2016) dell'Internet Security Research Group: certificate authority gratuita, protocollo ACME automatico, certificati a 90 giorni, backing di EFF/Mozilla/Cisco. La trasformazione dell'HTTPS da privilegio a default del web.

CybersecurityOpen SourceWeb
CybersecurityOpen SourceWeb Let's EncryptISRGACMEHTTPSTLSCybersecurityEFFOpen Source
CyberScan

CyberScan

Vulnerability assessment e pentest automatizzato. Asset discovery continuo, AI risk prioritization, NIS2 compliance manager integrato.

Scopri CyberScan → Cybersecurity

Cybersecurity

Consulenza CISO-as-a-service: postura, roadmap di remediation, supporto continuativo.

Scopri →

HTTPS era un privilegio

Fino al 2015 attivare HTTPS richiedeva di acquistare un certificato da una Certificate Authority commerciale (DigiCert, Comodo, GlobalSign, Symantec) — tipicamente tra 50 e 500 euro annui per un dominio singolo, con processo manuale di generazione CSR, validazione proprietà dominio, installazione. Per piccoli siti, blog personali, portali no-profit il costo era sproporzionato; il risultato è che la maggioranza del web operava in HTTP chiaro.

Post-rivelazioni Snowden (giugno 2013), la pressione per generalizzare HTTPS cresce. Mozilla e EFF lanciano HTTPS Everywhere come estensione; Google annuncia HTTPS come ranking signal; ma manca un pezzo infrastrutturale: una CA gratuita, automatizzata, accessibile.

L’Internet Security Research Group

Nel novembre 2014 viene annunciata la Internet Security Research Group (ISRG) — organizzazione no-profit californiana fondata da Electronic Frontier Foundation, Mozilla, Cisco, University of Michigan, Akamai. Obiettivo: lanciare Let’s Encrypt, Certificate Authority di nuova generazione con caratteristiche dichiarate:

  • Certificati gratuiti per chiunque
  • Automazione totale — no intervento umano
  • Durata breve (90 giorni) con rinnovo automatico
  • Audit trasparente del processo operativo
  • Open Source di tutto il software

ACME — Automated Certificate Management Environment

Il cuore tecnico di Let’s Encrypt è il protocollo ACME (Automated Certificate Management Environment), in corso di standardizzazione IETF. ACME automatizza:

  1. Account registration — il client genera una chiave, si registra presso ACME server
  2. Domain validation — sfide crittografiche per provare controllo del dominio:
    • HTTP-01 — il client pubblica un file token su http://dominio/.well-known/acme-challenge/
    • DNS-01 — il client pubblica un record TXT su _acme-challenge.dominio
    • TLS-ALPN-01 — challenge via estensione TLS
  3. Certificate issuance — una volta validato, la CA emette certificato firmato
  4. Renewal — il processo è ripetibile, tipicamente ogni 60-80 giorni

Lo standard è open: chiunque può implementare un client ACME o un server ACME.

Il GA di Aprile 2016

Let’s Encrypt è entrato in beta limitata a settembre 2015 e ha raggiunto General Availability il 12 aprile 2016. Il primo anno operativo:

  • Nel 2016 Let’s Encrypt emette oltre 20 milioni di certificati

La curva di adozione di HTTPS si sta trasformando da crescita lineare (~60% verso fine 2015) a crescita accelerata; Let’s Encrypt è riconosciuto come fattore determinante.

Client ACME

L’ecosistema di client ACME si sviluppa rapidamente:

  • Certbot (EFF) — client ufficiale Python, il più diffuso, con plugin per Apache, Nginx, DNS providers
  • acme.sh — shell script, zero dipendenze, popolarissimo per configurazioni minimali
  • lego — libreria Go + CLI, usata da Traefik, Caddy
  • Caddy (web server) — integra ACME nativamente, HTTPS automatico
  • dehydrated — Bash, alternativa leggera
  • Moduli/plugin integrati in Nginx, HAProxy, cert-manager (Kubernetes)

La diversità dei client dimostra la salute del protocollo: ACME è veramente un open standard, non controllato da Let’s Encrypt.

Limiti volontari

Let’s Encrypt emette solo certificati DV (Domain Validation) — non OV (Organization Validation) né EV (Extended Validation). La scelta è esplicita: DV è sufficiente per certificare l’autenticità del trasporto (il server parla per quel dominio), mentre OV/EV sono nicchie di valore discutibile nel web moderno.

Al 2016 non emette certificati wildcard: l’estensione è condizionata alla maturazione della sfida DNS-01.

Governance e trasparenza

ISRG pubblica regolarmente:

  • CPS (Certification Practice Statement) — documento formale delle pratiche operative
  • Audit annuale WebTrust per includere la root CA nei trust store di browser
  • Transparency logs — tutti i certificati Let’s Encrypt sono pubblicati in Certificate Transparency log (RFC 6962)

La root CA opera nei trust store via intermediate cross-signed da IdenTrust, in attesa dell’inclusione diretta nei browser.

Impatto su PA e aziende

Per PA e PMI italiane, Let’s Encrypt è stato un abilitatore concreto:

  • Siti pubblici possono attivare HTTPS senza budget dedicato
  • Automazione elimina il rischio di certificati scaduti (ricorrente prima del 2016)
  • Agid linee guida sulla sicurezza siti pubblici integrano ACME come opzione
  • Provider hosting italiani (Aruba, Register.it, TOPhost, OVH IT) offrono integrazione nativa

Traguardi strutturali

Il successo di Let’s Encrypt è destinato ad avere conseguenze oltre l’HTTPS ubiquo, con il modello no-profit replicabile su altre infrastrutture critiche.

Riferimenti: Let’s Encrypt GA (12 aprile 2016). Internet Security Research Group (ISRG). Fondatori sponsor: EFF, Mozilla, Cisco, Akamai, University of Michigan. Certbot (EFF). Certificate Transparency RFC 6962. Strumenti: acme.sh, lego.

Vuoi supporto? Sei sotto attacco? Stato dei servizi
Vuoi supporto? Sei sotto attacco? Stato dei servizi