Apparso su Nòva, inserto del quotidiano Sole 24 Ore il 20 maggio 2016.
link esterno: articolo su Nòva online del 20 maggio 2016
link esterno: articolo su Sole 24 ORE online del 20 maggio 2016
Sono ad oggi 3,5 milioni i certificati rilasciati da Let's Encrypt, di cui due milioni solo negli ultimi due mesi. La nuova certificate authority (CA) offre gratuitamente certificati Web fidati allo scopo di aumentare il livello di sicurezza nel traffico Internet. Tra gli sponsor del progetto vi sono Cisco, Akamai, Facebook e Mozilla, oltre naturalmente la Electronic Frontier Foundation la quale promuove l'uso della crittografia nelle comunicazioni del World Wide Web. Aumentano così i siti in grado di offrire comunicazione tramite il protocollo HTTPS, autenticazione certificata, integrità dei dati scambiati e protezione della privacy. Let's Encrypt, letteralmente traducibile con: Forza con la crittografia, è sia il nome di un software libero che quello di una autorità di certificazione aperta. Realizzato da Internet Security Research Group (ISRG), public benefit corporation con sede in California, il cui scopo dichiarato è ridurre le barriere economiche, tecnologiche e di educazione per rendere sicura la comunicazione attraverso Internet. Siamo di fronte all'evoluzione odierna della filosofia cryptopunk americana iniziata negli anni 90, per cui portare la crittografia alle masse è il modo per garantire la libertà nelle comunicazioni. I sistemi crittografici si sono però rivelati difficili da apprendere per il singolo e le pratiche di cifratura non si sono diffuse. Nel frattempo, assieme alla diffusione dei social network, si è imposta la filosofia della trasparenza radicale che vede con diffidenza la privacy nelle comunicazioni. Let's Encrypt invece che chiedere ai singoli di imparare a crittografare, lo chiede solamente ai webmaster, per i quali abbassa notevolmente il livello tecnico richiesto, e addirittura annulla i costi. Perché un navigatore possa cifrare la comunicazione in transito tra il cliente e un sito, come è bene che avvenga nel caso di una transazione economica, serve che il sito offra un certificato digitale valido, che il navigatore potrà verificare confrontandolo tra quelli di riferimento di cui già dispone. I certificati vengono rilasciati da una entità abilitata detta CA, Certification Authority. Quando al navigatore viene presentato un certificato di cui non conosce la provenienza chiede all'utente cosa fare, ossia se fidarsi e continuare o meno la navigazione, con toni più o meno allarmistici a seconda del tipo di navigatore. Se invece riconosce il certificato, mostra un lucchetto chiuso come simbolo della validazione riuscita. Un certificato viene rilasciato a pagamento, il mercato è dominato da tre CA: Symantec, la ha quale inglobato Verisign, Comodo e GoDaddy. Assieme coprono i tre quarti dei certificati esistenti. Esiste anche la possibilità per un gestore di un sito di creare autonomamente un certificato, ma oltre alle difficoltà tecniche che comprendono la validazione, la firma crittografica, l'installazione e il periodico rinnovo, il risultato pur tecnicamente valido e funzionante, non otterrebbe l'approvazione del navigatore. L'autocertificazione è dunque appannaggio di associazioni o singoli il cui scopo è impedire che terzi attraverso l'intercettazione del traffico possano leggere i dati scambiati tra il sito e l'utente, ma non trova applicazione commerciale. Questo ecosistema cambia sostanzialmente con la nascita nel 2014 di Let's Encrypt, no profit CA che rilascia gratuitamente certificati e fornisce un software per automatizzare la loro installazione e rinnovo. Let's Encrypt esce dalla fase di test il 12 aprile 2016 e sta perseguendo rapidamente il suo scopo di crittografare Internet.
Per un utilizzo amatoriale con software libero creare un certificato è semplice quanto scrivere: letsencrypt-auto
--apache
. Le implicazioni sono però tutt'altro che semplici da prevedere. Si tratta di un taglio del middle-man,
dell'intermediario, sia nel senso di colui che intercetta la comunicazione tra due parti, sia nel senso dell'entità che
garantisce, certificandola, la loro autenticità. Un cambiamento della economia delle certificazioni del web che oltre a
rappresentare un taglio dei costi, è un passo avanti per la libertà delle comunicazioni e la loro riservatezza in
rete. Verso un web criptato.