Let’s Encrypt

Let's EncryptIeri è partita la beta pubblica di Let’s Encrypt.

Il sito rilascia gratuitamente, senza se e senza ma, certificati TLS firmati da una CA riconosciuta dalla PKI, con l’eccezione di Windows XP.

In altre parole, i certificati di Let’s Encrypt sono riconosciuti dai browser, possono essere utilizzati senza problemi dalle società e se ne possono prendere un numero arbitrario.

La prima differenza sostanziale rispetto ai certificati emessi da altre entità è che questi durano 90 giorni, anziché un anno (minimo) per gli altri certificati.

La seconda differenza importante è che il processo di generazione o rinnovo del certificato è totalmente automatico al punto da poter essere eseguito in maniera non interattiva da uno schedulatore.

Per ottenere un certificato di Let’s Encrypt si utilizza un programma che, opzionalmente, aggiorna anche la configurazione del server HTTP. In questa fase di beta il programma gira solamente su Linux e BSD, è in preparazione una versione PowerShell. Per ora sono supportati i server Apache e nginx come automatizzazione completa del processo, ma nulla vieta di utilizzare il programma per scaricare un certificato e trattarlo manualmente o con uno script esterno. A fianco dei plugin ufficiali del programma sono disponibili altri forniti dalla comunità.

Per ora vengono rilasciati solamente certificati con un hostname completo, non sono (ancora) disponibili i cosiddetti certificati wildcard che certificano ogni host di un dominio.

A parte l’assenza di un client per Windows (previsto comunque in seguito), il sistema scelto e la scarsa durata dei certificati impedisce di utilizzare Let’s Encrypt per certificare le connessioni a router, appliance, switch, firewall e sistemi analoghi che richiedono un’interfaccia interattiva per caricare i certificati.

Autore: Luigi Rosa

Consulente IT, sviluppatore, SysAdmin, cazzaro, e, ovviamente, geek.

3 pensieri riguardo “Let’s Encrypt”

  1. Mi auguro di vederlo offerto come feature dai maggiori hoster e servizi clou. Spero nel giro di un anno compaia una checkbox al momento in cui si crea un sito in Azure o AWS o un app su Heroku o Google AE (–useLetsEncryptSSLCert non sarebbe carino?).

Spazio per un commento