Let’s Encrypt è un progetto sponsorizzato da Mozilla e da altri enti che si prefigge lo scopo di fornire certificati SSL gratuiti per tutti.
Il sogno sta diventando pian piano realtà, e già da qualche settimana è possibile ottenere dei certificati da questa neonata CA. Al momento vengono accettate solo chiavi RSA, ma perlomeno è possibile scegliere a piacimento la lunghezza di queste, che ricordo non dovrebbero essere mai più corte di 2048bit.

Personalmente poiché uso nginx con configurazioni complesse non ho lasciato che il loro client vi mettesse mani, ed ho optato per la verifica tramite webroot. Tale tipo di verifica aggiunge un file nella root del sito, che viene poi utilizzato per verificare che voi ne siate gli effettivi amministratori. Questo è un enorme passo avanti dalle altre CA, che spesso chiedono, oltre che alla verifica dei dati personali, l’invio di un codice di conferma al dominio da verificare, presso una casella di posta a loro scelta. E se io non volessi/potessi mettere su un server di posta?

Decisa la modalità, attuarla è piuttosto semplice:

letsencrypt-auto certonly –webroot -w /var/www/sites/letsencrypt.dreamcode -d letsencrypt.dreamcode.it

Dopo alcuni semplici passaggi troveremo certificato e chiave privata in /etc/letsencrypt/live, pronti per essere utilizzati e già validi.

Il problema principale è che non forniscono certificati validi oltre i 3 mesi, e questo potrebbe creare dei problemi agli admin più pigri, me compreso. Personalmente preferirei che tale validità fosse estesa almeno all’anno o due, tanto coi sistemi OCSP odierni non c’è più pericolo che certificati revocati vengano utilizzati ugualmente.

Il sito indicato qui sopra esiste davvero ed è attivo, raggiungibile qui in caso foste curiosi. Qui invece potete trovare un report completo di SSL Labs, giusto per.

E voi, siete da A+?