Una nuova certification authority è finalmente tra noi, diamo il benvenuto a Let's Encrypt!
Nata un paio di anni fa da una iniziativa Mozilla, alla Internet Security Research Group si sono uniti diversi attori del web conosciuti, come la Electronic Frontier Foundation, la Linux Foundation, Akamai e Facebook: lo scopo dichiarato è quello di rendere più sicuro il web offrendo certificati X.509 gratuiti per tutti in modo da diffondere maggiormente la disponibilità di connessioni HTTPS sicure.
Chiunque ha interesse ad ottenere un certificato per il proprio sito web necessita del client dal quale può richiederlo o direttamente aggiornare la configurazione del proprio server (nel caso si usasse Apache il plugin relativo è direttamente incluso nel client). Le uniche "limitazioni" sono la scadenza a 90 giorni e la necessità di ottenere un certificato per ogni sottodominio (non è possibile ottenere i certificati cosiddetti 'wildcard'). In attesa di una pacchettizzazione stabile (in corso di creazione), il sito del progetto suggerisce di utilizzare il wrapper creato appositamente: per prima cosa bisogna scaricare il codice con
git clone https://github.com/letsencrypt/letsencrypt
Entrare nella cartella così scaricata e lanciare il wizard di installazione (che chiederà ad esempio su quale virtualhost installare il certificato) con
./letsencrypt-auto --help
Specificando direttamente i flag invece è possibile ottenere ed installare il certificato in un colpo solo.
La procedura non è (ancora) completamente automatica, ma basta lanciare nuovamente il comando un mesetto prima della scadenza per rinnovare il certificato. Se tutto è andato a buon fine si vedrà il "lucchetto verde" all'accesso col browser, ed eventualmente si può controllare la sicurezza della propria configurazione con il servizio di SSLLabs.
