lets encrypt


Hablaba de ello hace unos meses al hilo del surgimiento de Let’s Encrypt, respaldado por la EFF y Mozilla, y que intentaba democratizar de esta manera el acceso a certificados SSL para cualquier web que así lo pidiera.

Estos días, lo que en principio salió como beta cerrada, ha pasado a beta abierta (EN), lo que significa que cualquier administrador de un site puede pedir a este nuevo organismo una certificación segura de su página, que a priori será convenientemente marcada como tal por la mayoría de servicios de descubrimiento informativo (buscadores, navegadores,…). Todo de forma relativamente sencilla, casi al alcance de cualquier usuario de hosting, sin grandes conocimientos de administración de sistemas.

Algo que precisamente un organismo tan crítico como Google lleva tiempo empujando. Primero con la decisión de pasar todos sus servicios a SSL (EN), y más tarde con el anuncio de que a partir de entonces consideraría el ofrecer o no HTTPs como una medida más de rankeo en su buscador.

La noticia, por tanto, es buena. De esta manera, se fuerza a que la mayoría (todos los que quieran seguir saliendo en las búsquedas) pasemos a utilizar conexiones HTTPs para navegar por nuestras páginas, y no el HTTP básico que usábamos hasta ahora.

Aunque como todo en esta vida, tiene un gran pero, y ese pasa por los sacrificios que hacemos con el cambio.

Hacia una web menos menos independiente

Jose lo definía muy bien en su último artículo (ES):

Hay aspectos más importantes, como el de la marginalización de la web verdaderamente independiente. Un certificado vale tanto como la reputación de la entidad certificadora. Puedes producir tu propio certificado SSL pero tus lectores y usuarios han de confiar en ti, dado que el certificado lo firmas tú mismo. Para quien no te conoce, es manifiestamente mejor que te avale una entidad reputada como VeriSign, por poner un ejemplo.


La medida me recuerda muchísimo a aquella que vivimos con la estandarización del correo. Antiguamente, cualquiera con ganas (y conocimientos) podía montarse un servidor de correo en casa. Pero entonces, empezaron a necesitarse cada vez más elementos. Que si una IP fija, que si una resolución inversa de dominio,… En caso de no poder ofrecer alguno de estos elementos, o directamente el correo no era viable, o era tachado como potencialmente peligroso por el resto de grandes proveedores de correo.

Y con ello, aunque el forzado era a priori para interés del usuario (evitar que cualquiera se pudiera montar un servicio de phishing vía email en su casa), se consiguió que algo que podía ser independiente del sistema, entrara en él.

hoy en día, por facilidad, por funcionalidad, y casi por necesidad, la mayoría de usuarios utilizamos correos que nos ofrecen “gratuitamente” empresas como Google, Microsoft, Apple,… E incluso aquellos correos que tenemos con nuestro propio dominio los sincronizamos con estas plataformas.

Se pierde entonces independencia, y se gana en centralización.

Justo igual que ocurre con ese nuevo estándar impulsado por Google para rehabilitar la web en entornos de mobilidad. Algo que recalco, es necesario, pero que también conlleva unos sacrificios a considerar.

Con el caso de las entidades certificadoras pasa exactamente igual.

De un escenario en el que cualquiera se puede montar una web y ofrecer un servicio, pasamos a otro en el que para hacerlo (y ser competitivos en el mercado), tenemos que o bien contratar a una entidad certificadora de prestigio, o bien apostar por un ente a priori neutral como será Let’s Encrypt.


Cualquiera puede autofirmarse un certificado, pero el problema es que la mayoría de buscadores y navegadores como Chrome lo van a tachar como potencialmente peligroso.

Por detrás, el interés de un regulador por, en efecto, hacer de Internet un paraje más seguro (así evitamos que cualquiera se monte una web bancaria fail con “candadito” seguro), y de paso, un elemento más para centralizar lo que a priori iba a ser un proyecto abierto y accesible a cualquiera.

Porque ¿cuántos organismos de certificados digitales hay con buena reputación en todo el planeta? No tantos, se lo puedo asegurar.

Un sistema de confianza y reputación para dominarnos a todos

Iría aún más lejos. El riesgo ya no solo pasa por esa pérdida de control, esa suerte de intermediación reputacional, tan compleja de mantener, que pasa de recomendable a obligatoria.

La cuestión es qué pasará con todos aquellos proyectos que, aunque siguen ofreciendo un canal digital de mucho valor (informativo) para sus clientes, ya han sido abandonados.

Jose enlaza a un artículo de Locusmag sobre el internet de los muertos (EN), que aunque sea antiguo (muy al hilo de lo comentado), le insto a leer.

Toda esa parte de la web que ya no se actualiza, y que aunque siga sirviendo de gran valor para los usuarios, irá paulatinamente desapareciendo del alcance de todos nosotros.


Si los buscadores le rebajan su rankeo por cuestiones puramente técnicas que ya no están contempladas, si los navegadores lanzan un popup en rojo vivo alertando de todo el peligro que conlleva entrar en una página que quizás esté desarrollada únicamente en XHTML y CSS, no habrá muchos interesados en aventurarse en sus dominios.

Pese a que siga siendo tan inofensiva como antaño. Pese a que el contenido que tiene aporta aún muchísimo valor. Simplemente porque no ha sido actualizada a los estándares centralizados y dependientes que dicta el nuevo Sistema en la red.

Lo peor es que no se me ocurre ningún punto medio aceptable. O bien apostamos por una internet más centralizada y segura, o bien mantenemos la independencia. Y en los dos casos, hay riesgos asociados que conviene tener en cuenta.

Quizás algo como Let’s Encrypt sea una salida hasta cierto punto aceptable. Un organismo en principio neutral, con la EFF y Mozilla por detrás (lo cual me da bastante tranquilidad, sinceramente), accesible por cualquiera (aunque ahora haya que pedirlo y sea un paso extra) y gratuito.

Eso siempre y cuando obviemos cómo demonios va a mantener el sistema de confianza Let’s Encrypt cuando millones de páginas lo utilicen.

Va siendo hora que reconozcamos que Internet no es un escenario permanente, donde algo puede seguir funcionando mientras los dueños no le quiten el cable.

Un Internet que ya no es totalmente neutral, y que irá paulatinamente siéndolo menos.

¿En dónde está el límite? Sinceramente, no lo sé ¿Alguna opinión al respecto?