Niente più lucchetti rossi e certificati da installare: Let’s Encrypt sarà l’autorità certificatrice TLS/SSL usata da XT3. Una scelta difficile.

Motivazioni

Ieri: centralizzato e costoso

Noi di XT3 abbiamo iniziato a rendere sicuri i nostri servizi con TLS/SSL una decina d’anni fa.

Allora come adesso, il sistema di accreditamento dei certificati era centralizzato nelle mani di qualche decina di grosse autorità certificatrici (CA): se una CA è nella lista delle CA affidabili precaricata dal browser, allora il certificato del sito è anch’esso “affidabile” e il lucchetto diventa verde, altrimenti l’utente viene investito da messaggi rossi d’inquietudine: il sito non è “affidabile”. Un sistema di fiducia così centralizzato e così nascosto all’utente è pericolosa per l’archittettura, perché la compromissione di una sola CA è in grado di provocare danni considerevoli, ed è pericolosa per le coscienze, perché si suggerisce agli internauti un approccio superficiale alla verifica dell’autenticità delle proprie comunicazioni. I costi necessari ad avere dei certicati “affidabili”, inoltre, erano proibitivi sia per privati che per ogni realtà professionale o associativa di taglia piccola.

È per questi due motivi che sin da subito abbiamo deciso di mettere in piedi una CA con la quale firmare i certificati nostri e dei nostri utenti:

  1. osteggiare la pericolosa tendenza centralizzante;

  2. riappropriarci di una tecnologia resa artificialmente costosa.

Oggi: gratuità

Circa un anno fa, una giovane autorità certificatrice senza fine di lucro usciva dal suo ciclo di collaudo: Let’s Encrypt. Nata per rendere più sicure le comunicazioni via Internet diffondendo al massimo l’uso di SSL/TLS, la CA ha realizzato gratuitamente, e anche standardizzato, dei servizi automatizzati per la fornitura dei certificati. Oggi Let’s Encrypt firma qualcosa come quattro milioni di certificati al mese e i suoi certificati sono automaticamente riconosciuti “affidabili” dalla stragrande maggioranza dei sistemi operativi e software applicativi.

Transizione

Migriamo

Pur restando ferma la nostra posizione fortemente critica alla centralizzazione del sistema di fiducia TLS/SSL, per rendere i nostri servizi più comodamente fruibili anche per un pubblico non esperto abbiamo preso una decisione difficile, anche grazie ai numerosi solleciti di diversi utenti. Annunciamo che da oggi la CA di XT3 è in fase di dismissione a favore di Let’s Encrypt: i certificati usati da XT3 per i servizi interni e degli utenti saranno in futuro firmati da quest’ultima.

Lucchetto sempre verde

Quando la migrazione sarà conclusa, e già oggi per i servizi e i siti per i quali è già stata operata, non sarà più necessario agli utenti installare il certificato radice della CA di XT3 in ogni dispositivo che faccia uso dei nostri servizi: grazie a Let’s Encrypt saranno “affidabili”!

Processo

Cronologia della transizione

  • 5 marzo
    • sito web principale,
    • nuvola privata,
    • portale assistenza,
    • piattaforma di sviluppo,
    • webmail e interfaccia di gestione email per domini ospiti,
    • interfaccia di gestione liste di posta elettronica,
    • piattaforma di statistiche di navigazione per domini ospiti.
  • 6 marzo
    • taschino di lettura,
    • server XMPP,
    • depositi git,
    • posta elettronica in entrata e in uscita.