Por Lucas Teixeira | #Boletín12

EDICIÓN (2015-11-23): El software entra en etapa Beta Pública el 3 de Diciembre — estará abierto para que cualquiera lo use, pero aún no está totalmente listo para retirar la etiqueta de «beta».

La herramienta Let’s Encrypt, la apuesta de el Internet Security Research Group (ISRG) para facilitar la adopción de HTTPS por parte de sitios web de todo el mundo como garantía de comunicaciones seguras mediante Internet, está dando sus últimos pasos rumbo a su funcionamiento pleno.

El proyecto, patrocinado por organizaciones como EFF, Mozilla y la Linux Foundation, además de empresas de redes e infraestructura, como Cisco y Akamai, tiene el objetivo de proporcionar certificados TLS/SSL gratuitamente y sin restricciones para cualquier persona o institución a través de una herramienta de línea de comando que debe comenzar a incluirse en los sistemas operativos y ya venir instalada en servidores comerciales.

El valor cobrado por la emisión de certificados (hay algunas soluciones gratuitas, pero generalmente muy limitadas) y la dificultad de instalar el certificado una vez que se compra son las mayores barreras para la adopción de esa tecnología que cifra el tráfico entre el navegador y el servidor web, impidiendo desde la captura de contraseñas por ladrones de cuentas bancarias hasta la recolección masiva de datos realizada por organismos como la NSA y el GCHQ.

Después de entrar en fase beta, funcionando a partir de invitaciones, el proyecto anunció recientemente que ya tiene la confianza de todos los navegadores actuales. Para funcionar out-of-the-box, sin necesidad de personalización por parte de los(as) usuarios(as), un certificado debe ser firmado por una de las Autoridades Certificadoras (Certificate Authorities, o CA) ya listadas en el navegador, y lo que Let’s Encrypt hace es crear una CA totalmente nueva. Mientras no esté incluida en la lista de autoridades confiables del navegador, los certificados emitidos por esa CA están siendo cross-signed por IdenTrust, es decir, además de la firma de la nueva DA creada por IRSG, se incluye también una firma de esa autoridad que ya existe y participa como patrocinadora del proyecto.

Según Seth Schoen, miembro antiguo de EFF y embajador de Let’s Encrypt en conferencias por todo el mundo, la fecha de lanzamiento del servicio para el público general es la segunda quincena de noviembre.