Lisandro Pardo
Ayer le dimos un vistazo a SSL Enforcer, un programa que convierte todas las conexiones salientes del ordenador en seguras. Lo ideal sería que los desarrolladores web tengan a su alcance un método sencillo para obtener certificados de seguridad e implementar HTTPS sin sobresaltos, y eso es exactamente lo que busca ofrecer Let’s Encrypt, un grupo formado por la EFF, Mozilla, Cisco, Akamai, y otros.
La Web necesita ser más segura en todo sentido. Sería de mucha ayuda si ciertas organizaciones gubernamentales dejan de espiar, registrar y catalogar todo lo que se cruza en su camino, pero al igual que sucede con los desarrolladores maliciosos, es prácticamente imposible entrar en razón con alguien que mantiene esa agenda. Las conexiones seguras son un excelente primer paso, y nos protegen de muchos males que flotan en la red de redes. Sin embargo, el proceso para obtener certificados de seguridad es complejo y costoso, sin mencionar los cuidados técnicos que cada portal requiere después. Si queremos que haya más sitios seguros, la adquisición e implementación de certificados debería ser más simple y económica de lo que es hoy. La Electronic Frontier Foundation quiere lograr eso.
La iniciativa sin fines de lucro lleva el nombre de Let’s Encrypt, y cuenta con la participación de compañías como Mozilla, Cisco y Akamai Technologies. Let’s Encrypt ofrecerá sin cargo alguno certificados y herramientas open source destinadas a reducir la huella técnica que genera la instalación de estos certificados. Tal y como lo explica Peter Eckersley, director de proyectos tecnológicos en la EFF, al pedir a varios expertos en administración web que implementen HTTPS en sus sitios, descubrieron que pueden tardar hasta una hora o más, e incluso no estar del todo seguros si lo hicieron correctamente. El plan de Let’s Encrypt es disminuir esa hora de trabajo a veinte o treinta segundos como mucho, y ofrecer mecanismos que faciliten la renovación (o revocación) de los certificados.
De acuerdo a la publicación oficial, la autoridad de los certificados de Let’s Encrypt será administrada por el “Internet Security Research Group”, estacionado en California. La teoría es excelente, pero también carga con un problema. Otros expertos consideran que reducir la “burocracia” en la obtención de certificados podría debilitar toda la estructura de seguridad, aunque por otro lado, varios de esos expertos defienden los intereses de compañías que entregan certificados hoy, y obtienen ganancias de ello.
One Comment
Leave a Reply