A porcentagem de sites protegidos com criptografia segura HTTPS - indicada pelo ícone de cadeado na barra de endereço da maioria dos navegadores - saltou de pouco mais de 40% em 2016 para 80% hoje.

Isso se deve em grande parte aos esforços do Let's Encrypt, uma autoridade de certificação sem fins lucrativos cofundada em 2013 por J. Alex Halderman, um professor de ciência da computação e engenharia da Universidade de Michigan.

Ao oferecer um serviço gratuito, Let's Encrypt tornou a implementação de HTTPS cara, processo complicado para uma etapa fácil que está ao alcance de todos os sites. A autoridade de certificação é agora a maior do mundo, fornecendo mais certificados HTTPS do que todas as outras autoridades de certificação combinadas.

Halderman e seus colaboradores em Let's Encrypt — the Electronic Frontier Foundation, Mozilla, Cisco e Stanford University - publicaram um artigo detalhando como o projeto se concretizou. Eles esperam que sirva de modelo para otimizar outros aspectos da infraestrutura da Internet com a qual todos dependemos todos os dias.

O que exatamente é uma autoridade de certificação HTTPS?

Halderman:HTTPS é o protocolo que os navegadores da web usam para se comunicar com os servidores da web por meio de uma conexão criptografada. Ele fornece confidencialidade, evitando que bisbilhoteiros entendam os dados. Ele fornece integridade evitando que redes maliciosas alterem os dados. E fornece autenticação garantindo que você está falando com o servidor mostrado na barra de endereços do navegador, e não com um impostor. Essa última parte é essencial. Se HTTPS não tiver autenticação, um invasor pode redirecionar a conexão para um servidor controlado por ele e ler ou alterar os dados.

A autenticação também é a parte complicada, e é aí que entram as autoridades de certificação. Eles são um pequeno grupo de organizações nas quais os navegadores da web confiam para garantir a identidade dos servidores. Para implementar HTTPS, primeiro, um site precisa provar a uma autoridade de certificação que é realmente o servidor em um determinado domínio da Internet. Em seguida, a autoridade de certificação emite para o site um certificado assinado digitalmente, que funciona como uma carteira de motorista para permitir que os navegadores confirmem sua identidade.

Por que a criptografia é importante em sites que não lidam com informações confidenciais?

Halderman:Quando o HTTPS foi inventado na década de 1990, destinava-se principalmente a transações com cartão de crédito e serviços bancários online. Mas desde então, a internet se tornou um lugar muito mais perigoso. Edward Snowden nos mostrou que os governos estavam fiscalizando o tráfego em escala global. Também vimos casos em que governos e outros mudaram o tráfego da Internet para atacar o computador do usuário, ou para usar seu computador para atacar terceiros.

Então hoje, a criptografia é importante não apenas para transações financeiras, mas para todas as comunicações online. É por isso que é importante torná-lo acessível a todos os operadores do site, e Let's Encrypt está fazendo exatamente isso. Ele tem sido particularmente bom para impulsionar a adoção de HTTPS em sites menores que não têm os recursos para obter um certificado por meio do processo tradicional.

Por que o HTTPS é tão difícil de implementar?

Halderman:Tradicionalmente, a implementação de HTTPS exige que os operadores de sites escolham uma autoridade de certificação, provar sua identidade para eles, pague até algumas centenas de dólares por um certificado, espere ele chegar, em seguida, siga uma série de etapas complicadas para instalá-lo. Você tem que repetir o processo a cada um ou dois anos, e se você não fizer isso na hora certa, seu site pode cair. Muitos sites, particularmente os menores, apenas deixou seus sites sem criptografia.

Let's Encrypt é um tipo diferente de autoridade de certificação que fornece certificados gratuitos por meio de um processo automatizado que geralmente leva apenas um clique, e às vezes é uma parte automática da configuração do site. Isso gerou um grande aumento no número de sites protegidos.

Como o Let's Encrypt fornece certificados gratuitamente?

Halderman:Primeiro, O Let's Encrypt é uma organização sem fins lucrativos e é financiado principalmente por doações de grandes empresas de tecnologia. Isso é diferente da maioria das autoridades de certificação. Em segundo lugar, e talvez contra-intuitivamente, tornar os certificados gratuitos reduz drasticamente o custo de sua emissão. O pagamento é uma grande fonte de atrito que torna o processo muito mais difícil de automatizar.

Então, uma vez que você remove esse atrito, os certificados tornam-se muito mais simples de emitir. Depois de simplificar o processo, fomos capazes de automatizá-lo construindo um sistema de software chamado protocolo ACME. O ACME reduz o custo de cada certificado do Let's Encrypt para uma fração de centavo.

Por que o primeiro artigo da sua equipe sobre Let's Encrypt será lançado quatro anos após seu lançamento?

Halderman:Porque criar um novo tipo de autoridade de certificação que distribui certificados gratuitos foi uma ideia maluca. Se tivéssemos escrito o artigo antes de construí-lo, não teria sido publicado. Tínhamos que provar que a economia funcionaria, e não havia maneira de fazer isso, exceto apenas construí-lo.

Quatro anos depois, O Let's Encrypt foi um grande sucesso. E espero que este artigo, que analisa como o construímos e mede o impacto na web, pode ajudar a espalhar algumas das lições que aprendemos para ajudar outras partes da infraestrutura da Internet a funcionar melhor.

Quais são algumas dessas lições e como elas podem ajudar em outras áreas?

Halderman:Parte do que faz o Let's Encrypt funcionar é que ele é uma parte neutra que opera no interesse público, e não um produto de uma grande empresa de tecnologia. Isso o torna algo em que todos podem confiar e no qual nenhuma empresa tem uma participação prioritária.

Existem outros locais onde a autenticação e a cooperação são necessárias. Por exemplo, Os ISPs geralmente trabalham juntos em protocolos de roteamento que direcionam as informações pela Internet. Mas esse processo em si não é criptografado e está sujeito a ataques. Esse é um lugar onde um modelo semelhante ao Let's Encrypt poderia funcionar bem.

Você mencionou que Let's Encrypt era uma ideia maluca em 2013. Hoje, não parece tão louco. Como você passa de "ideia maluca" para "por que não pensei nisso?"

Halderman:Olhando além das medidas acadêmicas usuais de sucesso, como número de artigos ou startups comerciais. Podemos fazer isso em Michigan porque o impacto no mundo real está no DNA da Faculdade de Engenharia. E para ser honesto, Não acho que existam muitas outras universidades onde isso poderia ter acontecido.

Quando começamos este projeto, sabíamos que não se tornaria um artigo acadêmico tradicional tão cedo. Mas as pessoas aqui viram que provavelmente seria valioso para o mundo, e eles apoiaram o trabalho - todos, desde os colegas que me contrataram para o comitê de tese para o doutorado. aluno que ajudou a projetar ACME. Esse apoio foi o que nos permitiu conduzir o projeto até o sucesso.

O papel, Vamos criptografar:uma autoridade de certificação automatizada para criptografar toda a web, será apresentado em 14 de novembro na Conferência ACM sobre Segurança de Computadores e Comunicações em Londres.