Mil millones de certificados después, el loco sueño de Allow&#39s Encrypt para asegurar la net se está haciendo realidad


Comentario: Encriptemos al cofundador Josh Aas rápidamente rechaza los elogios, pero cada uno de nosotros tiene mucho que agradecerle, ya que el 85% de las cargas de páginas ahora están aseguradas.

istock-923401596encryption.jpg

Imagen: Sarayut Tanerus, Getty Visuals / iStockphoto

La mayoría de nosotros tenemos bloqueadores que nos impiden hacer nuestro trabajo tan bien como nos gustaría. Tal vez el equipo de marketing no nos escuche, o ese imbécil en ingeniería se niega a agregar una característica en unique. Y si solo mi jefe aprobara la compra de un nuevo MacBook Air, ¡podría ser muchísimo más productivo!

Josh Aas no quedará impresionado. ¿Su bloqueador? Necesitaba cientos de millones de sitios web para adoptar una seguridad más fuerte (HTTPS). No hay problema, verdad? Bien…. Una ruta hacia este objetivo era estandarizar una nueva especificación HTTP (HTTP / 2) que abarca la seguridad de la capa de transporte (TLS) Pero esto introdujo otro problema: para que esto funcione en el mundo genuine, Aas necesitaba emitir los aproximadamente mil millones de certificados que necesitarían los sitios internet para habilitar HTTPS (SSL / TLS), de forma gratuita. Y haga que sea muy fácil obtener y administrar esos certificados.

Ah, y todo tuvo que hacerse en cinco años o menos.

Entonces, Aas dejó su trabajo diario en Mozilla en 2012 y comenzó Encriptemos (como se hace) Hoy, en parte debido al trabajo de Permit&#39s Encrypt, aproximadamente el 85% de todos los sitios web usan HTTPS y se han emitido más de mil millones de certificados. Hablé con Aas para obtener la historia.

VER: Política de seguridad de pink (TechRepublic Premium)

Génesis…

En 2011, Aas lideraba el equipo de redes de Mozilla, el grupo que escribe todo el código de red en Firefox. Como él lo cuenta, period una frustración constante que tantos sitios website no usaran HTTPS porque no había mucho que Mozilla pudiera hacer en el lado de Firefox para mejorar la seguridad de esas conexiones. «Queríamos desesperadamente movernos a un sitio world-wide-web solo con HTTPS, pero hacer que cientos de millones de sitios net cambiaran su comportamiento parecía casi imposible», relató.

Como se mencionó, en este momento Aas y el equipo de Mozilla estaban participando en el proceso de estandarización HTTP / 2, y Aas quería asegurarse de que HTTP / 2 requiriera TLS para que fuera seguro de manera predeterminada. Esto sonaba simple y razonable, pero no fue tan sencillo.

Uno de los argumentos en contra de requerir TLS para HTTP / 2 fue que hacerlo lo haría «pagar para jugar»: tendría que comprar un certificado para implementarlo. También haría que la implementación fuera mucho más compleja porque obtener y administrar certificados era muy complejo. Todo esto dañaría la adopción.

«Necesitábamos encontrar una manera de hacer que los certificados sean gratuitos y fáciles de obtener y administrar», dijo Aas. «Necesitábamos que la solución estuviera disponible a nivel mundial, y queríamos que la solución ayudara a convertir una gran parte de la Website a HTTPS en cinco años o menos».

¿Oh enserio? ¿Eso es todo?

La mayoría de nosotros probablemente nos habríamos rendido. No aas «La única thought que parecía que podría funcionar period iniciar una nueva autoridad de certificación sin fines de lucro que emitiera certificados de forma totalmente automática y fácil de usar». Aas y sus co-conspiradores (un colega de Mozilla, Eric Rescorla, Alex Halderman de la Universidad de Michigan y Peter Eckersely, que estaba con Electronic Frontier Basis) «no estaban locos por pasar años de nuestras vidas construyendo una AC (certificado autoridad) «, pero parecía ser la única respuesta plausible, tan inverosímil como era.

… y sustento

En cualquier inicio, se requiere cierta esperanza. La más mínima buena noticia puede ayudar a un emprendedor a navegar un aluvión de malas noticias. Para Aas, «había mucho que aprender, lo que disfruto. Había una sensación de urgencia. Cuanto más progresábamos, más emocionados estaban los demás».

Aas y el equipo Permit&#39s Encrypt tardaron tres años en pasar de la nada a emitir su primer certificado de confianza pública. Los primeros dos años, dijo, fueron principalmente planificación, obtención de patrocinadores iniciales, trabajo legal y la elaboración de algunos acuerdos con socios. Ese tercer año se dedicó a la construcción de la AC, que tardó un poco más de un año. A cada paso, describió Aas, period un trabajo agotador. «Lo que me salvó», continuó, «fue la contratación Sarah Gran, que es el segundo al mando en Let&#39s Encrypt en estos días. Ella es increíblemente inteligente y productiva y realmente hizo que las cosas no solo fueran soportables nuevamente, sino que también fueran agradables »

¿Y qué hay del dinero? Aas pudo haber querido regalar certificados de forma gratuita, pero construir el aparato Allow&#39s Encrypt fue todo menos gratuito. Afortunadamente, los milagros ocurren cuando estás asegurando la website.

Durante el tercer año de Enable&#39s Encrypt, cuando el dinero era escaso y la administración de las finanzas era una fuente importante de estrés para Aas, un donante anónimo se acercó y ofreció donar lo que Enable&#39s Encrypt necesitara. Dijo Aas: «Cité una cifra bastante alta que resolvería muchos problemas, y básicamente respondieron pidiendo instrucciones de transferencia bancaria. Me enviaron lo que pedí. Fue un alivio masivo financieramente, pero también emocionalmente porque nos permitió sabemos que las personas de las que nunca habíamos oído hablar entendían la importancia de nuestro trabajo «.

Operando al aire libre

Ocho años después, Permit&#39s Encrypt ha sido un éxito fantástico. Este nuevo trabajo que Aas asumió para garantizar la eficacia de su antiguo trabajo continúa hasta nuestros días. Desde que Let&#39s Encrypt emitió su primer certificado en 2015, el porcentaje de cargas de páginas cifradas ha aumentado del 39% al 85% a partir de abril de 2020, a nivel mundial, lo que ha protegido una increíble cantidad de datos personales.

Es un logro gigantesco.

Para que las empresas confíen en los certificados de Enable&#39s Encrypt, ha sido elementary que Allow&#39s Encrypt funcione con la máxima transparencia, hasta el código fuente detrás de su servicio. «Creemos que es importante que el código sea de código abierto para la transparencia y la confianza», me dijo. El código central que ejecuta la autoridad de certificación Allow&#39s Encrypt siempre ha sido de código abierto, disponible en GitHub.

VER: El estafador de Mastermind detrás de Capture Me If You Can habla de ciberseguridad (Descarga de TechRepublic)

Enable&#39s Encrypt también depende de la comunidad de otras maneras. Según Aas, «No estaríamos donde estamos hoy sin (nuestra comunidad)». Esto incluye a quienes ayudan a administrar foros comunitarios, aquellos que contribuyen a construir el sitio world wide web Let&#39s Encrypt (también de código abierto), así como aquellos que escriben los cientos de opciones de program del cliente por usar Enable&#39s Encrypt. Como señaló Aas, «existe una gran diversidad de paquetes de implementación de application y no tenemos los recursos para asegurarnos de que Allow&#39s Encrypt se integre bien con todos ellos. Confiamos en nuestra comunidad y hacen un trabajo increíble: hay ¡un cliente para casi cualquier pila de software package! Esto es lo que hace que Permit&#39s Encrypt sea tan fácil de usar para todos «.

Un mejor net

Desde el principio, Aas argumentó: «La gente quiere hacer lo correcto y asegurar sus sitios con HTTPS, (pero) necesitaba que fuera más fácil». Permit&#39s Encrypt llenó ese vacío al ofrecer un servicio seguro y confiable que puede emitir millones de certificados por día sin problemas. Allow&#39s Encrypt también eliminó la complejidad de la emisión y gestión de certificados al automatizar el proceso y construir sobre API estandarizadas y bien documentadas que facilitan la vida de los equipos de ingeniería.

Esta funcionando.

«Hubiera sido difícil para mí imaginarme emitiendo mil millones de certificados y sirviendo 200 millones de sitios web solo cinco años después de que comenzamos», dijo Aas. «Pero aquí estamos». El hecho de que el 85% de las cargas de páginas en la internet ahora sean seguras es «una victoria sorprendente para la privacidad y la seguridad», dijo Aas. Impresionante, de hecho, y todo vuelve al sacrificio personal que Aas y los otros cofundadores de Enable&#39s Encrypt hicieron para asegurar la internet, para nosotros.

Divulgación: trabajo para AWS, pero nada en este documento se relaciona con mi trabajo allí.

Ver también



Enlace a la noticia unique