Let's Encrypt: differenze tra le versioni

|ImmagineLogo =

|Fondatore = [[Electronic Frontier Foundation]] <br /> [[Mozilla Foundation]] <br /> [[Università del Michigan]]

'''''Let's Encrypt''''' è una [[certification authority]] conche l'obiettivo di automatizzareautomatizza gratuitamente la creazione, la validazione, il rilascio ed il rinnovo di [[Certificato digitale|certificati]] [[X.509]] per il protocollo [[Transport Layer Security|TLS]].<ref name="encryptentire">{{Cita web|url=https://www.eff.org/deeplinks/2014/11/certificate-authority-encrypt-entire-web |titolo=Launching in 2015: A Certificate Authority to Encrypt the Entire Web |editorecognome=Eckersley |nome=Peter |sito=[[Electronic Frontier Foundation]] |url=https://www.eff.org/deeplinks/2014/11/certificate-authority-encrypt-entire-web |lingua=en|accesso=2811 febbraiomaggio 20162018}}</ref>.

Il client di Let's Encrypt è [[software libero]].<ref name="apache-clientlicenceclientlicense">{{Cita web|url=https://github.com/letsencrypt/letsencrypt/blob/master/LICENSE.txt|titolo=Let's Encrypt Client Licence License| sito=GitHub| accesso=28 febbraio 2016|sito=[[GitHub]]|lingua=en}}</ref>. La lista di tutti idei certificati rilasciati è pubblica.<ref name="certspec">{{Cita web|url=https://letsencrypt.org/certificates/|titolo=Certificates |sito=letsencrypt.org|18 accesso=28 febbraioaprile 2016|lingua=en}}</ref><ref name="certlist">{{Cita web|url=https://crt.sh/?Identity=%25&iCAID=7395|titolo=Comodo Certificate Search | sito=cert.sh| accesso3=28 febbraio 2016|lingua=en|urlarchivio=https://web.archive.org/web/20180908175100/https://crt.sh/?Identity=%25&iCAID=7395|dataarchivio=8 settembre 2018|urlmorto=sì}}</ref>

Lo scopo principale del progetto è quello di riuscire a cifrare tutte le comunicazioni sul [[World Wide Web]]<ref name="about">{{Cita web|url=https://letsencrypt.org/about/|titolo=About Let's Encrypt |sito=letsencrypt.org |accesso=28 febbraio 2016|lingua=en}}</ref>. Let's Encrypt si prefigge di raggiungere questo scopo azzerando il costo dei certificati ed andando ad automatizzare il processo di configurazione del web server, della verifica tramite email e del rinnovo del certificato. In questo modo la complessità di gestione e manutenzione di una cifratura TLS si riduce drasticamente (su un [[web server]] su un [[Sistema operativo|sistema]] [[unix-like]] sono sufficienti pochi secondi per configurare il supporto ad [[HTTPS]]<ref name="2030sec">{{Cita web|url=http://sdtimes.com/eff-wants-make-https-default/|titolo=EFF wants to make HTTPS the default protocol|28 febbraio 2016|sito=SD Times |accesso=28 febbraio 2016|lingua=en}}</ref>).

Il client di Let's Encrypt è incluso nei [[repository]] ufficiali di [[Debian]], al fine di favorire maggiormente la diffusione del client <ref name="debianpackage">{{Cita web|https://packages.debian.org/sid/letsencrypt|Package: letsencrypt|15 aprile 2016|lingua=en}}</ref>. La maggior parte dei [[browser]] fa affidamento su Let's Encrypt per deprecare l'utilizzo di connessioni [[HTTP]] non cifrate<ref name="mozilla">{{Cita web|url=https://blog.mozilla.org/security/2015/04/30/deprecating-non-secure-http/|titolo=Deprecating Non-Secure HTTP |sito=Mozilla Blog |accesso=28 febbraio 2016|lingua=en}}</ref><ref name="chromium">{{Cita web|url=https://www.chromium.org/Home/chromium-security/marking-http-as-non-secure|titolo=Marking HTTP as non secure |sito=The Chromium Project |accesso=28 febbraio 2016|lingua=en}}</ref>.

Let's Encrypt rilascia solamente certificati di tipo [[Domain Validated]], non è previsto il rilascio di certificati di tipo [[Organization Validation]] o [[Extended Validation]]<ref name="faq">{{Cita web|url=https://community.letsencrypt.org/t/frequently-asked-questions-faq/26|titolo=Let's Encrypt FAQ | sito=community.letsencrypt.org| accesso=28 febbraio 2016|lingua=en}}</ref>. AlDal tempo13 stesso nonmarzo ci2018 sono prospettivesupportati perufficialmente ilanche rilascio dii certificati diwildcard tipousati [[Certificatoper wildcard|Wildcard]],mettere in quanto ritenuti non necessari se considerata la facilità e la velocitàsicurezza, con cuilo è possibile ottenere ilstesso certificato perdi undominio, nuovoanche dominio<refi name="faq"/>sottodomini.

Il progetto Let's Encrypt nasce nel 2012 da parte di due impiegati di [[Mozilla]], Josh Aas e Eric Rescorla insieme a Peter Eckersley della [[Electronic Frontier Foundation]] e J. Alex Halderman della [[Università del Michigan]]. L'Internet Security Research Group, l'ente che sta cheattualmente sta seguendo attualmente lo sviluppo di Let's Encrypt è entrata nel progetto nel maggio 2013.

Il 28 gennaio 2015, il protocollo ACME viene presentato all'[[IETF]] per essere ufficialmente standardizzato<ref>{{Cita web|url=https://datatracker.ietf.org/doc/draft-barnes-acme/history/|titolo=History for draft-barnes-acme-04|accesso=28 febbraio 2016 |sito=datatracker.ietf.org|lingua=en}}</ref>. Il 9 aprile 2015 lo ISRG e la [[Linux Foundation]] annunciano ufficialmente la loro collaborazione<ref>{{Cita web|url1=http://www.eweek.com/security/lets-encrypt-becomes-linux-foundation-collaborative-project.html|titolo2=Let's Encrypt Becomes Linux Foundation Collaborative Project|accesso3=28 febbraio 2016 |sitolingua=www.eweek.comen|linguaurlmorto=ensì}}</ref>. All'inizio del giugno 2015 vengono generati il certificato root ed il certificato intermedio di Let's Encrypt, mentre il 16 giugno vienevengono annunciate ufficialmente le scadenze che indicano la settimana del 27 luglio come obiettivo per il rilascio del primo certificato e la settimana del 14 settembre 2015 come papabile per il rilascio pubblico del servizio<ref>{{Cita web|url=https://letsencrypt.org/2015/06/16/lets-encrypt-launch-schedule.html|titolo=Let's Encrypt Launch Schedule - Let's Encrypt - Free SSL/TLS Certificates|accesso=28 febbraio 2016 |sito=letsencrypt.org|lingua=en}}</ref>. Il 7 agosto 2015 queste scadenze vengono riviste per permettere di fornire maggiore stabilità e sicurezza al sistema, facendo slittare alla settimana del 7 settembre 2015 il rilascio del primo certificato e alla settimana del 16 novembre il rilascio pubblico del servizio<ref>{{Cita web|url=https://letsencrypt.org/2015/08/07/updated-lets-encrypt-launch-schedule.html|titolo=Updated Let's Encrypt Launch Schedule - Let's Encrypt - Free SSL/TLS Certificates|accesso=28 febbraio 2016 |sito=letsencrypt.org|lingua=en}}</ref>.

Il 14 settembre 2015, Let's Encrypt rilascia il suo primo certificato, per il dominio helloworld.letsencrypt.org. Nello stesso giorno la ISRG invia la richiesta a [[Mozilla]], [[Microsoft]], [[Google]] ed [[Apple]] per i loro root program, al fine di rendere i certificati di Let's Encrypt riconosciuti dai principali browser<ref>{{Cita web|url=https://threatpost.com/first-lets-encrypt-free-certificate-goes-live/114675/|titolo=First Let's Encrypt Free Certificate Goes Live|accesso=28 febbraio 2016 |sito=Threatpost {{!}} The first stop for security news|lingua=en}}</ref>.

Il 12 novembre 2015, Let's Encrypt annuncia che il rilascio per il grande pubblico sarebbe slittato e che avrebbe avviato il programma di beta pubblica il 3 di dicembre dello stesso anno<ref>{{Cita web|url=https://letsencrypt.org/2015/11/12/public-beta-timing.html|titolo=Public Beta: December 3, 2015 - Let's Encrypt - Free SSL/TLS Certificates|accesso=28 febbraio 2016 |sito=letsencrypt.org|lingua=en}}</ref>.

Il 3 dicembre 2015, Let's Encrypt annuncia ufficialmente di essere entrato nella fase di beta pubblica<ref name="publicbeta">{{Cita web|url=https://letsencrypt.org/2015/12/03/entering-public-beta.html|titolo=Entering Public Beta |sito=letsencrypt.org|accesso=28 febbraio 2016|lingua=en}}</ref><ref>{{cita web|url=https://letsencrypt.org/2015/11/12/public-beta-timing.html|sito=letsencrypt.org|titolo=Public Beta timinglinguatiming|lingua=en}}</ref>

Nel giugno 2015, Let's Encrypt ha generato un certificato root [[RSA (crittografia)|RSA]] che si trovava su un [[hardware security module]] (HSM) poi messo offline.<ref name="irsg-ca-cert">{{Cita web|url=https://letsencrypt.org/2015/06/04/isrg-ca-certs.html|Let's Encrypt Root and Intermediate Certificates|28 febbraio 2016|lingua=en}}</ref> Il certificato root è stato utilizzato per firmare due certificati intermedi, i quali sono a loro volta ''cross-signed'' da parte di [[IdenTrust]]<ref name="irsg-ca-cert"/>. Uno dei certificati intermedi viene utilizzato per la firma dei certificati rilasciati, mentre l'altro viene mantenuto offline a scopo di backup nel caso ci fossero problemi con il primo certificato<ref name="irsg-ca-cert"/>.

Il ''cross-signing'' da parte di [[IdenTrust]] consente alla maggior parte dei browser di considerare i certificati come attendibili, anche nel caso in cui il certificato root di Let's Encrypt non venga riconosciuto dal browser<ref name="le-is-trusted">{{Cita web|url=https://letsencrypt.org/2015/10/19/lets-encrypt-is-trusted.html|Let's Encrypt is Trusted|28 febbraio 2016|lingua=en}}</ref>.

Gli sviluppatori di Let's Encrypt prevedono di generare anche un certificato root [[Elliptic Curve Digital Signature Algorithm|ECDSA]] entro la prima parte del 2016<ref name="irsg-ca-cert"/><ref name="ec-support">{{Cita web|url=https://community.letsencrypt.org/t/elliptic-curve-cryptography-ecc-support/34/30|Elliptic Curve Cryptography (ECC) Support|28 febbraio 2016|lingua=en}}</ref>.

Il protocollo utilizzato da Let's Encrypt per l'autenticazione e il rilascio dei certificati si chiama [[Automated Certificate Management Environment]] (ACME), è un protocollo del tipo ''[[challenge-response]]''. Il server (Let's Encrypt) presenta al client (il [[web server]]) un insieme di ''challenge'' che il proprietario del dominio deve risolvere per provare di essere il responsabile del dominio<ref name="how-it-works">{{Cita web|url=https://letsencrypt.org/how-it-works/|titolo=How it works | sito=letsencrypt.org | accesso=28 febbraio 2016|lingua=en}}</ref>.

Nella [[versione beta]] di Let's Encrypt è supportata solamente la ''challenge'' di tipo HTTP: si richiede al gestore del web server di ritornarerestituire un ''[[token (sicurezza)|token]]'' a fronte di una richiesta [[Hyper TextHypertext Transfer Protocol#Riga di richiesta|GET]] eseguita sul web server<ref name="how-it-works"/>.

Il protocollo ACME prevede anche altri tipi di ''challenge'', in particolare Let's Encrypt prevede di supportare le ''challenge'' di tipo [[DNS]]: si richiede di inserire un record di tipo TXT contenente un ''token'' presso il server DNS del dominio per cui si richiede il certificato<ref name="dns-is-staging">{{Cita web|url=https://community.letsencrypt.org/t/dns-challenge-is-in-staging/8322|titolo=DNS challenge is in staging | sito=community.letsencrypt.org | accesso=28 febbraio 2016|lingua=en}}</ref>.

Tutte le richieste effettuate tramite il protocollo ACME avvengono attraverso [[JSON]] firmati (anche detti [[JSON web signature]], JWS) scambiati su connessioni HTTPS<ref name="jws">{{Cita web|url=https://www.cryptologie.net/article/274/lets-encrypt-overview/|Let's Encrypt Overview|28 febbraio 2016|lingua=en}}</ref>. La versione [[Internet Draft|draft]] delle specifiche del protocollo può essere trovata su [[GitHub]]<ref name="gh-spec">{{Cita web|https://github.com/letsencrypt/acme-spec|ACME Specification|28 febbraio 2016|lingua=en}}</ref>. Una versione del protocollo ACME è stata inoltre inviata all'IETF per la sua standardizzazione<ref name="ietf-spec">{{Cita web|https://tools.ietf.org/html/draft-barnes-acme-01|Automatic Certificate Management Environment (ACME)|28 febbraio 2016|editore=[[IETF]]|lingua=en}}</ref>.

La [[certification authority]] consiste in un software chiamato Boulder e scritto in [[Go (linguaggio di programmazione)|Go]], che implementa il protocollo [[lato server]]. Boulder viene rilasciato come [[software libero]] sotto licenza [[Mozilla Public License]] (MPL)<ref name="boulder-licencelicense">{{Cita web|url=https://github.com/letsencrypt/boulder/blob/master/LICENSE.txt|titolo= Boulder LICENCE LICENSE| sito=[[GitHub]] | accesso=28 febbraio 2016|lingua=en}}</ref>, di fatto offre delle [[Application programming interface|API]] [[Representational State Transfer|RESTful]] che possono essere invocate tramite canale cifrato con TLS.

Il software che esegue sul [[lato client]] (sul web server) si chiama ''letsencryptcertbot'', è scritto in [[Python]] ed è rilasciato con [[licenza Apache]]<ref name="le-licence">{{Cita web|url=https://github.com/letsencrypt/letsencrypt/blob/master/LICENSE.txt|titolo=letsencrypt LICENCE LICENSE| editore=[[GitHub]] | accesso=28 febbraio 2016|lingua=en}}</ref>. Il software client si occupa della gestione dei certificati, del processo di validazione del dominio, dell'installazione dei certificati, della configurazione HTTPS sul web server e del rinnovo dei certificati. Il client permette di configurare in automatico i web server [[Apache HTTP Server|Apache]] ed [[nginx]]<ref name="plugins">{{Cita web|url1=https://letsencrypt.readthedocs.org/en/latest/using.html#plugins|titolo2=Read the Docs - Let's Encrypt plugins | sito3=Read28 the docsfebbraio 2016| accessolingua=28en|urlarchivio=https://web.archive.org/web/20160226224633/http://letsencrypt.readthedocs.org/en/latest/using.html#plugins|dataarchivio=26 febbraio 2016|linguaurlmorto=ensì}}</ref>.

Let's Encrypt è un servizio offerto dal [[Internet Security Research Group]] (ISRG), un'organizzazione senza scopo di lucro con il focus principale sulla [[sicurezza]] su internet. Gli sponsor principali del progetto sono la [[Electronic Frontier Foundation]] (EFF), la [[Mozilla Foundation]], [[Akamai]], [[Cisco Systems|Cisco]], [[Google Chrome|Chrome]] ed [[OVH]]. Fra gli altri parternpartner vi sono anche la [[certification authority]] [[IdenTrust]], la [[Università del Michigan]], la [[Stanford School of Law]], la [[Linux Foundation]] e [[Facebook]]<ref name="sponsors">{{Cita web|url=https://letsencrypt.org/sponsors/|titolo=Current Sponsors | sito=letsencrypt.org| accesso=28 febbraio 2016|lingua=en}}</ref>.

{{Portale|Crittografiacrittografia|Internetinternet|Sicurezzasicurezza informatica}}

[[Categoria:Sicurezza indi rete]]