Cómo una iniciativa sin fines de lucro logró que más de 600 millones de sitios web adoptaran HTTPS de forma gratuita
En 1996, cuando el experto en tecnología Steven J. Vaughan-Nichols registró su primer sitio web, una de las primeras tareas que enfrentó fue asegurar las conexiones con un certificado SSL (Secure Sockets Layer). Este protocolo de seguridad, que proporcionaba conexiones cifradas y autenticaba la identidad de los sitios web, era entonces una gran molestia de configurar y extremadamente caro.
El problema de la seguridad web antes de Let’s Encrypt
Aunque todos reconocían que HTTPS era vital para proteger las conexiones web de los usuarios y esencial para los sitios de comercio electrónico, casi nadie lo utilizaba en esos días. Según el experto en seguridad de internet Scott Helme, solo el 6.71% del millón de sitios web más populares utilizaba el protocolo de seguridad en 2015. Era una cifra patética.
La situación empeoró cuando en 2010, Firesheep demostró lo fácil que era espiar las conexiones Wi-Fi de cualquier persona. Quedó claro que la única manera de tener seguridad confiable era que cada sitio web estuviera cifrado.
Los costos prohibitivos de los certificados SSL
El problema principal era cómo hacer el proceso fácil, simple de instalar y barato para que las personas finalmente adoptaran HTTPS. En 2015, los certificados Extended Validation (EV) podían costar hasta $1,500 al año, y incluso un certificado básico Domain Validation (DV) costaba hasta $50 anuales.
Existían tres tipos principales de certificados SSL/TLS:
- Domain Validation (DV): certificados básicos de un solo dominio
- Organization Validation (OV): verifican tanto la propiedad del dominio como que representan un negocio legítimo
- Extended Validation (EV): proporcionan la verificación más rigurosa de la identidad del sitio web
El nacimiento de Let’s Encrypt
La idea de Let’s Encrypt surgió en 2012 entre tecnólogos de Mozilla, la Electronic Frontier Foundation (EFF) y la Universidad de Michigan. Reconocieron que las barreras para HTTPS – costo, complejidad y procesos manuales – estaban impidiendo su adopción generalizada.
En mayo de 2013, estos colaboradores establecieron formalmente el Internet Security Research Group (ISRG) como el hogar sin fines de lucro para Let’s Encrypt y otros proyectos de infraestructura digital de beneficio público.
Como explicó Josh Aas, director ejecutivo del ISRG: «El objetivo era hacer que el cifrado fuera el predeterminado para la web. La web es un lugar complicado estos días; es difícil para los consumidores tener control sobre sus datos. La única estrategia confiable para asegurar que los datos privados y la información de todos esté protegida mientras está en tránsito por la web es cifrar todo. Let’s Encrypt simplifica esto.»
La innovación técnica clave: el protocolo ACME
La innovación clave fue el protocolo Automated Certificate Management Environment (ACME), que permitía a los servidores solicitar, instalar y renovar certificados automáticamente. Este enfoque era una desviación radical de los procesos manuales y propensos a errores que eran comunes entonces.
ACME simplifica la emisión, renovación y revocación de certificados con mensajes con formato JSON sobre HTTPS. Este protocolo, posteriormente estandarizado por el Internet Engineering Task Force (IETF), se convirtió en la columna vertebral de la automatización de Let’s Encrypt.
Hitos históricos
- Noviembre 2014: Se anunció públicamente Let’s Encrypt
- Septiembre 2015: Se emitió el primer certificado Let’s Encrypt para el dominio helloworld.letsencrypt.org
- Octubre 2015: Acuerdo con IdenTrust para que los navegadores principales reconocieran los certificados
- Marzo 2016: Se emitió el certificado número un millón
- Junio 2017: Se emitió el certificado número 100 millones
- Febrero 2020: Se emitió el certificado número mil millones
El impacto transformador en la web
El efecto en la web ha sido dramático. El porcentaje de páginas web cargadas sobre HTTPS se disparó de menos del 7% hace una década a 88.1% en 2025.
Actualmente, Let’s Encrypt emite aproximadamente 7 millones de certificados por día, y ha servido a millones de suscriptores de manera eficiente con un presupuesto y personal modestos.
¿Por qué Let’s Encrypt es gratuito?
Según Aas, existen varias razones fundamentales:
Eliminación de fricción: «No es solo el tema de la asequibilidad, se trata de eliminar la fricción de necesitar hacer cualquier tipo de pago recurrente de cualquier tamaño. No hay razón para no obtener un certificado. No necesitas encontrar una tarjeta de crédito, no necesitas obtener permiso para pagar.»
Acceso universal: «Todos necesitan seguridad, así que no queremos ninguna fricción. También se trata de asegurar que podamos proporcionar servicio en todas partes del mundo, independientemente de nuestra capacidad de participar en transacciones financieras en cualquier lugar particular.»
Transparencia: «Somos abiertos. Nos basamos en estándares abiertos de software de código abierto, y hay un par de razones para esto. La confianza es lo que hace que todo esto funcione, y depender tanto como sea posible del código abierto y los estándares abiertos es una manera de permitir que las personas entiendan cómo funcionan nuestros sistemas.»
Más allá de los certificados SSL
El éxito de Let’s Encrypt ha inspirado al ISRG a expandir su esfuerzo hacia la seguridad de memoria en software crítico de infraestructura de internet, apoyando el uso de Rust en el kernel de Linux a través de su proyecto Promissmo.
El legado de Let’s Encrypt
Hoy en día, Let’s Encrypt está tejido en la fibra misma de internet. Raramente se encuentra un sitio que no soporte HTTPS. Sin Let’s Encrypt, todavía podríamos estar plagados de conexiones web inseguras.
Let’s Encrypt se erige como un testimonio de lo que se puede lograr cuando el interés público, la innovación técnica y la colaboración de la industria se alinean. Mientras que internet ciertamente tiene más que su parte justa de problemas de seguridad, al menos ya no necesitamos preocuparnos por que nuestras contraseñas de sitios web sean robadas cuando nos conectamos a través de la red Wi-Fi de una cafetería.
Esta iniciativa ha democratizado el cifrado web, eliminando tanto el costo como la complejidad que impedían su adopción masiva, convirtiendo la seguridad en algo accesible para todos los sitios web del mundo.
. Este protocolo de seguridad, que proporcionaba conexiones cifradas y autenticaba la identidad de los sitios web, era entonces una gran molestia de configurar y extremadamente caro.){kind=link}