Let’s encrypt jest projektem dążącym do maksymalizacji dostępności do certyfikatów SSL – i chyba najlepszą rzeczą, jaka mnie ostatnio spotkała.

Są dwa powody, dla których nigdy nie zgłębiłem tematu szyfrowania połączeń HTTP: wysoka cena certyfikatów oraz koszmarna konfiguracja serwera. Szczerze mówiąc, nie wiem jak bardzo wysoka, bo w zależności od wielu czynników ceny różnią się nawet o dwa rzędy wielkości, ani jak bardzo koszmarna, bo jedna krótka przygoda z konfiguracją certyfikatów zdołała skutecznie odstraszyć mnie od tematu.

A to bardzo niedobrze. Jeśli łączysz się z ze stroną, która nie szyfruje ruchu, to nie dość, ze nie masz pojęcia, czy dane z example.com rzeczywiście pochodzą z example.com, czy tylko ktoś się pod nich podszył, to jeszcze wszystkie dane, które między sobą wymieniacie (włącznie z hasłami), latają sobie po sieci zapisane czystym tekstem!

Internet chce z tym walczyć. Mam nieoficjalne informacje, że Google chcą “wkrótce” przestawić Chrome na tryb “tylko HTTPS”. Póki co, strony z poprawnym certyfikatem są oznaczane zieloną kłódką przy adresie, te z niepoprawnym – czerwoną, a te bez certyfikatu – wcale. Aby zachęcić ludzi do używania HTTPS, te ostatnie niedługo również będą czerwone. Dla właścicieli stron nie jest to przyjemna perspektywa.

Wtem, na ratunek przybywa Let’s encrypt. Dzięki sponsoringowi wielkich firm, oferują certyfikaty zupełnie za darmo. A do tego udostępniają narzędzie, dzięki któremu konfiguracja certyfikatu na serwerze Apache pod Debianem to raptem jedno polecenie w konsoli! (pod innymi platformami jest ciut gorzej, ale wciąż o wiele łatwiej niż w przypadku ręcznej konfiguracji).

Minusy? Projekt dopiero co wyszedł z bety, więc nie ma co oczekiwać fajerwerków takich jak wildcards (które akruat bardzo by mi się przydały). No i wiadomo, że za darmo nigdy nie dostaniemy certyfikatu potwierdzającego naszą tożsamość, lecz tylko domenę. To znaczy, że dzięki certyfikatom od Let’s encrypt możemy zapewnić użytkowników, że naprawdę rozmawiają z example.com i że nikt ich nie może przy tym podsłuchać, ale już nie o tym, że example.com jest zarządzane przez Example sp. z o.o. Czyli wystarczająco dobrze dla zdecydowanej większości zastosowań.

Nie mam żadnych wątpliwości, że Let’s encrypt zrewolucjonizuje bezpieczeństwo w sieci.