Blog de Seguridad Informática

Será Let’s Encrypt una amenaza comercial para las autoridades certificadoras?

Let's Encrypt Certificados SSL gratis

Como bien sabemos, todo mundo está a favor de la información encriptada, hasta el gigante google ha lanzado algoritmos que benefician a los sitios seguros. Pero encriptar la información no es fácil y por consecuencia solo una minoría del trafico en internet es de esta naturaleza, aunque parezca increíble, menos del 10% del tráfico en internet es seguro y encriptado.

En las ultimas semanas se ha mencionado del próximo lanzamiento de una autoridad certificadora gratuita llamada Let’s Encrypt, la cual es respaldada por marcas reconocidas de la industria, como son Mozilla, Akamai, Cisco, EFF e IndeTrust, además de investigadores de la Universidad de Michigan. Su objetivo para lanzamiento: Abril-Junio 2015.

Las características principales de Let’s Encrypt, son:

  • Gratis, sin cargo por los certificados.
  • Automático, la instalación, configuración y renovación no requieren aprobación.
  • Seguro, siguiendo siempre las mejores practicas.
  • Transparente, ya que todo mundo tendrá acceso a la información de quien emitió o le fue revocado un certificado.
  • Abierto, publicado como “open standar”
  • Cooperativo, ya que sera controlado por una organización multifuncional y con beneficio a la comunidad.

 

Porque Symantec no debe preocuparse por Let’s Encrypt.

Si tomamos en cuenta todos los beneficios que promete Let’s Encrypt, daríamos por hecho que el gigante de la seguridad Symantec, debería preocuparse, ya que ¿porque la gente querría pagar por algo que puedo tener gratis? Pero empecemos por decir que el costo por un certificado ssl no es un problema para las empresas, y de hecho, las empresas están mas acostumbradas a hacer negocios con otras empresas que a abrir una cuenta gratuita sin tener la seguridad de que serán atentidos correctamente.

Las empresas que hacemos mención son empresas grandes, empresas establecidas que seguramente ya están utilizando un certificado SSL/TLS, empresas que el costo del certificado lo ven como un seguro preventivo no como un gasto significativo.

Existen tres tipos de certificados ssl: Domain Validated (DV – dominio validado), Organization Validated (OV – organización validada) y Extended Validation (EV – validez extendida). Para obtener el primero solo se necesita comprobar que eres el dueño o administrador del dominio para el que se solicita el SSL. Para el de Organización Validada, la autoridad certificadora revisa y constata a través de un tercero para asegurar que la organización que aplica por el SSL es la misma que es dueña del dominio, y por ultimo en los certificados EV, el que pone la famosa barra verde y que inspira mayor confianza en los usuarios, para obtenerlo se necesita una extensiva documentación, y cabe mencionar que este tipo de certificados se emite solo para empresas, no para personas.

En base a lo anterior y tomando encuentra que Let’s Encrypt es un proceso automatizado, damos por hecho que el único certificado a emitir por esta nueva autoridad es el de los Dominios Validados (certificados DV) y esto para la mayoría de las compañías no es suficiente, ya que las empresas saben que el usuario respeta y reconoce las barras verdes como seguras.

Con los certificados OV no hay mucha diferencia visual, para saber si un certificado es OV se tendrían que revisar los datos de emisión y la verdad es que nadie hace eso. Pero lo que se es muy utilizado en todos los niveles de empresas, son los sellos de confianza y estos – como el Norton Secured Seal- solo se emiten para los certificados OV y EV. En pocas palabras cualquier persona con un dominio puede tener un SSL pero sin comprobar quienes son, esa es la mayor diferencia.

 

Quienes si se verán afectados por Let’s Encrypt

Como vimos anteriormente, las empresas no tendrán interés en los servicios de Let’s Encrypt por las razones antes mencionadas, la verdadera amenaza será para compañías que venden certificados ssl baratos a personas dueñas de sitios web o blogs, gente que paga por certificados de $4.99 al año, gente que solo busca el “candado” en su sitio pero que no cumple con los requerimientos para obtener una versión mas profesional.

Lo interesante es que ahora con Let’s Encrypt no queda pretexto para utilizar un certificado y ¡todos deberíamos hacerlo! Aun y cuando la autentificación será muy ligera y débil, estamos contribuyendo para una red más segura y protegida.

 

Samuel Noriega Certsuperior

Samuel Noriega es experto en tecnología, marketing digital y data science consultant.
Síguelo en LinkedIn

Comentarios