Let's Encrypt, uma autoridade de assinatura de certificado (CA) gratuita, automatizada e aberta do Internet Security Research Group (ISRG) sem fins lucrativos, disse que é emitiu um bilhão de certificados desde o seu lançamento em 2015.
O CA emitiu seu primeiro certificado em setembro de 2015, antes de finalmente alcançar 100 milhões em junho 2017. Desde o final do ano passado, Let's Encrypt emitiu pelo menos 1.2 milhão de certificados por dia.
O desenvolvimento ocorre quando mais de 80 por cento dos carregamentos de páginas da web começaram a usar HTTPS em todo o mundo e 91% só nos EUA.
HTTPS, o meio padrão de comunicação segura na Internet, vem com três benefícios: autenticação, integridade e criptografia. Ele permite que as solicitações HTTP sejam transmitidas por um canal criptografado seguro, protegendo assim os usuários de uma série de atividades maliciosas, incluindo falsificação de sites e manipulação de conteúdo.
“Desde 2017, os navegadores começaram a exigir HTTPS para mais recursos e melhoraram muito as formas de se comunicarem aos usuários sobre os riscos de não usar HTTPS”, disse a empresa. “Quando os sites colocam seus usuários em risco por não usarem HTTPS, os principais navegadores agora mostram avisos mais fortes. Muitos sites responderam implantando HTTPS. ”
Lançado com o objetivo de acelerar a taxa de criptografia da web e reduzir os custos de ativação de HTTPS, o protocolo ACME (Automatic Certificate Management Environment) do Let's Encrypt oferece um meio fácil de configurar e emitir certificados SSL Isso pode ser renovado e substituído sem intervenção manual de webmasters.
Electronic Frontier Foundation's certbot é um popular cliente ACME de código aberto e gratuito que permite HTTPS em sites implantando automaticamente os certificados Let's Encrypt - que são válido apenas por 90 dias - e gerenciamento de renovações.
Mas com malfeitores abusando do Let's Encrypt certificados HTTPS para mascarar tráfego malicioso e direcionar usuários desavisados para sites maliciosos, a empresa possui passos dados para “garantir que um requerente de certificado realmente controle o domínio para o qual deseja um certificado”.
Apple dá um passo significativo à frente
Mas isso não é tudo. A Apple conseguiu fazer o que a maioria das CAs hesitou em fazer todo esse tempo: reduzir a validade máxima dos certificados emitidos para um ano.
A gigante da tecnologia anunciou recentemente que a partir de 1º de setembro de 2020, o Safari rejeitará novos certificados HTTPS que expirem mais de 13 meses (ou 398 dias) de sua data de criação, efetivamente derrubando o vida máxima do certificado a partir de 825 dias.
Isso segue um votação falhada realizada em setembro passado pelo CA / Browser Forum para reduzir a vida útil dos certificados. Embora Let's Encrypt, certSIGN, Apple, Cisco, Google, Microsoft, Mozilla e Opera tenham votado a favor da mudança, quase dois terços das CAs participantes rejeitaram a ideia.
A iniciativa da Apple para encurtar a vida útil dos certificados HTTPS significa que clientes da CA como o Let's Encrypt e clientes ACME como o Certbot só se tornarão mais valiosos no futuro, pois forçariam os administradores do site a usar um certificado emitido por 1 ano ou menos.
Como os certificados de curta duração aumentam a segurança?
Limitar o tempo de vida dos certificados melhora a segurança do site, não apenas porque reduz a possibilidade de criminosos roubarem certificados negligenciados para montar ataques de phishing e malware.
Em segundo lugar, as versões móveis do Chrome e do Firefox não verificam proativamente o status do certificado, o que significa que um site cujo certificado foi revogado continuará a carregar sem avisar o usuário.
Isto é para razões de desempenho já que os navegadores terão que baixar listas de certificados revogados (CRLs), que podem ser muito grandes, afetando o carregamento da página.
Em vez disso, o Chrome usa Conjuntos de CRL para "bloquear certificados em situações de emergência", enquanto a Mozilla tem experimentado CRLite em suas construções noturnas.
Além dessas técnicas, o fabricante do Firefox também anunciou especificações técnicas para um novo protocolo criptográfico denominado “Credenciais delegadas para TLS, ”Que“ permite que as empresas tenham controle parcial sobre o processo de assinatura de novos certificados para si mesmas - com um período de validade de não mais de 7 dias e sem depender totalmente da autoridade de certificação ”.
Nem é preciso dizer que a decisão da Apple de cortar a vida útil dos certificados é um passo significativo para a segurança. E se ajudar a impedir de forma proativa os usuários de se conectar a sites comprometidos, só pode ser uma coisa boa.
