The Internet Security Research Group (ISRG), en español, Grupo de Investigación de Seguridad de Internet (GISI), es una entidad sin ánimo de lucro creada en 2014 y centrada en la seguridad de Internet, especialmente a través de su principal inciativa  “Let’s Encrypt” que pretende distribuir gratuita y automáticamente certificados de servidor web a todos los servidores del mundo.

Los certificados de servidor web se basan en el protocolo “Secure Sockets Layer/Transport Layer Security” (SSL/TLS).

Josh Aas, representante de la Fundación Mozilla será su primer director ejecutivo. En el Consejo de la entidad, además de Mozilla estarán también representadas Akamai, Cisco, la Universidad de Michigan, la  Stanford Law School, CoreOS, IndenTrust, y la Fundación EFF (Electronic Frontier Foundation).

Estos son los miembros:

  • Josh Aas (Mozilla) — ISRG Executive Director
  • Stephen Ludin (Akamai)
  • Dave Ward (Cisco)
  • J. Alex Halderman (University of Michigan)
  • Andreas Gal (Mozilla)
  • Jennifer Granick (Stanford Law School)
  • Alex Polvi (CoreOS)
  • Peter Eckersley (EFF) — Observer

La iniciativa Let’s Encrypt, en español  “Cifremos” tiene entre sus destinatarios a los webmasters de las empresas, que instalan y mantienen servidores web. Si en la actualidad  conseguir los certificados de servidor es un engorro, por ser relativamente costosos y difíciles de instalar, con Let’s Encrypt se pretende resolver estos problemas creando una nueva Autoridad de Certificación que prepare e instale los certificados automáticamente cuando se instalan los servidores o se reconfigura el software de un proyecto.

Todas las actuaciones, como renovar los certificados, serán automáticas y gratuitas.

Aparte de facilitar el trabajo a los webmasters, el hecho de que los internautas naveguen por una Internet en la que la mayoría de los servidores mantienen las comunicaciones cifradas aporta como ventaja el que se disminuye la probabilidad de ataques “man in the middle” en los que la información es accesible (y modificable) por servidores situados en el tránsito de las comunicaciones (algunos potencialmente infectables por software malicioso). Y también por servidores que puedan estar bajo el control de algunos gobiernos, que así no podrán saber en qué consisten las comunicaciones de los ciudadanos.

Let’s Encrypt está definido, documentado y su desarrollo ya ha comenzado. Se espera que la infraestructura esté desplegada en 2015.

La Autoridad de Certificación de Let’s Encrypt dialoga con un software de gestión específico instalado en los servidores mediante el protocolo ACME (“Automated Certificate Management Environment”) del que ya existe un borrador de especificación. La idea es promover esta especificación para que sea parte del cuerpo normativo de la Internet Engineering Task Force (IETF) en el plazo más breve posible, y de est forma garantizar su evolución como estándar abierto.

Tanto el software utilizado por la CA (Certification Authority, Autoridad de Certificación) como el de las aplicaciones que acceden a ella y que facilitan a los administradores de sistemas la configuración de certificados SSL/TLS en servidores web como Apache, Nginx y Microsoft IIS, serán de fuentes abiertas. La CA pretende operar de forma transparente de modo que el repositorio de certificados emitidos y revocados estará a disposición de quien quiera inspeccionarlos.

Let’s Encrypt se someterá a los procesos de auditoría habituales de todas las CA y cumplirá los requerimientos básicos (baseline requirements) establecidos por la organización de cooperación entre desarrolladores de navegadores y autoridades de certificación  CA/Browser Forum en cuanto a la emisión y gestión de certificados digitales.

El Internet Security Research Group (ISRG) solicitará que sus certificados raíz se incluyan en los programas definidos por los desarrolladores de navegadores como Mozilla y Microsoft, para que estos navegadores confíen en los certificados emitidos por la CA de ISRG por defecto (sin requerir una aprobación expresa por los usuarios). Dado que este proceso puede ser largo y laborioso y que puede llegar a necesitar hasta 3 años por cada navegador, inicialmente ISRG solicitará a IdenTrust  (cuyas CA raíz ya están integradas en los navegadores) que firme sus certificados.   IdenTrust es uno de los impulsores del proyecto.

Para colaborar en España con esta iniciativa, contactar con Julian (@) inza.net