El décimo aniversario de Let’s Encrypt

 (letsencrypt.org)
11 puntos por GN⁺ 2025-12-10 | 1 comentarios | Compartir por WhatsApp
  • Desde la primera emisión de un certificado público en 2015, Let’s Encrypt ha crecido hasta convertirse en la autoridad certificadora (CA) más grande del mundo, emitiendo la mayor cantidad de certificados a nivel global
  • Con la escalabilidad basada en automatización como eje central, emite más de 10 millones de certificados al día y está cerca de proteger unos 1,000 millones de sitios web
  • Ha contribuido a mejorar la seguridad web al elevar la proporción de cifrado HTTPS en todo el mundo de menos del 30% a alrededor del 80%
  • Ha seguido incorporando funciones como dominios internacionalizados, comodines, certificados de corta duración y certificados IP, además de reforzar el rendimiento de su infraestructura
  • Bajo el respaldo de la organización sin fines de lucro ISRG, mantiene su misión de reducir las barreras de acceso a internet mediante una infraestructura de seguridad gratuita y automatizada

Diez años de trayectoria de Let’s Encrypt

  • Desde la primera emisión de un certificado público el 14 de septiembre de 2015, ha ofrecido certificados confiables para la mayoría de los clientes mediante software automatizado
    • Desde entonces ha emitido miles de millones de certificados y se ha convertido en la autoridad certificadora más grande del mundo
    • El protocolo ACME se integró en todo el ecosistema de servidores y se consolidó como un estándar entre los administradores de sistemas
  • En 2023, su entidad matriz sin fines de lucro, Internet Security Research Group (ISRG), también celebró su décimo aniversario
    • Junto con Let’s Encrypt, sigue operando proyectos de infraestructura de interés público

Crecimiento y expansión

  • Alcanzó el certificado número 1 millón en marzo de 2016, 1 millón de emisiones por día en septiembre de 2018 y 1,000 millones de certificados acumulados en 2020
    • A finales de 2025, emite más de 10 millones de certificados al día
    • El número de sitios activos protegidos se acerca a los 1,000 millones
  • El aumento en el volumen de emisión demuestra la estabilidad de la arquitectura y el éxito de la visión de automatización
    • El volumen de certificados es un indicador indirecto; lo central es el aumento de la adopción de HTTPS
    • Según estadísticas de Firefox, la proporción de conexiones HTTPS subió en cinco años de menos del 30% a más del 80%
    • En Estados Unidos se mantiene alrededor del 95%

Evolución técnica y mejoras de infraestructura

  • Añadió soporte para dominios internacionalizados (IDN) en 2016, certificados comodín en 2018 y certificados de corta duración y certificados IP en 2025
  • En 2021, realizó una actualización de los servidores de base de datos para responder al procesamiento de datos a gran escala
    • La red interna pasó de Gigabit Ethernet a Ethernet de 25 gigabits
  • En 2025, decidió experimentar e implementar mejoras en la estructura de los registros de Certificate Transparency
    • Está impulsando una actualización de arquitectura para responder al crecimiento continuo

Sistema de confianza y trabajo de estandarización

  • La firma cruzada de IdenTrust hizo posible la emisión inicial de certificados públicos
    • Más adelante, construyó y distribuyó sus propios certificados raíz de CA
  • Ha contribuido al desarrollo de la PKI web en colaboración con el CA/B Forum, el IETF y los programas de raíces de los navegadores
  • Lleva a cabo tareas de ingeniería PKI como gestión de cadenas de certificados, ceremonias de claves y documentación

Filosofía de automatización y valor social

  • Su objetivo es la automatización completa de la PKI web, construyendo un entorno en el que los operadores de sitios no tengan que preocuparse por los certificados
    • Cuanto más exitosa es la automatización, mayor es el riesgo de que el servicio se perciba como algo ‘obvio’
    • Se subraya la importancia de seguir generando conciencia y asegurando apoyo financiero
  • La comunidad apoya el proyecto mediante el uso diario de decenas de millones de certificados y la participación con donaciones
  • Ha recibido premios como el Levchin Prize (2022), el O’Reilly Open Source Award (2019) y el IEEE Cybersecurity Award (2025)
  • En 2019, un artículo académico en ACM CCS documentó la historia y el diseño del proyecto desde una perspectiva académica

Alianzas y visión de futuro

  • Se lanzó con el apoyo de patrocinadores iniciales como Mozilla, EFF, Cisco, Akamai e IdenTrust
    • En particular, IdenTrust desempeñó un papel clave para hacer realidad el servicio de certificados públicos al proporcionar la firma cruzada
  • Durante los próximos 10 años, busca reducir las barreras económicas, técnicas e informativas para construir un internet más seguro y respetuoso con la privacidad
  • Let’s Encrypt es un proyecto de la organización sin fines de lucro ISRG y continúa operando gracias a donaciones y patrocinios

Lecturas relacionadas

1 comentarios

 
GN⁺ 2025-12-10
Opiniones de Hacker News

  • Gracias a Let's Encrypt, ahora es difícil imaginar un sitio web sin TLS
    En una empresa anterior, el CEO se negó a usarlo porque decía que “un certificado gratis se ve barato para los clientes”, pero eso era una idea completamente absurda
    Era la autoridad certificadora más grande del mundo, y a los clientes nunca les importó quién emitía el certificado
    Me pregunto si alguien más ha recibido comentarios negativos por usar Let's Encrypt

    • Algunos proveedores de hosting bloqueaban el uso de certificados externos para obligarte a comprar solo sus certificados de pago
      Te impedían acceder por SSH o a contenedores para que fuera imposible instalar certificados gratis, y ponían precios absurdamente altos a los suyos
      Si la clase política que no entiende de tecnología hubiera comprendido esto, habría sido un escándalo de colusión de precios
    • Desde la perspectiva de un CEO en 2022, se entiende: hacía poco que los certificados EV habían desaparecido
      Chrome 77 y Firefox 70 eliminaron la visualización especial de EV en 2019, y hubo gente que nunca se adaptó al cambio
      Artículo relacionado: Extended Validation Certificates Are Really, Really Dead
    • Una vez avisé que el sitio de Porsche tenía un certificado vencido y, a las pocas horas, lo cambiaron por uno de Let's Encrypt
      En ese momento me sorprendió muchísimo, y pienso en Let's Encrypt como el SSD de internet: se siente como un salto de nivel
    • Hubo una época en que los certificados EV se consideraban más confiables que los DV
      Los navegadores mostraban un distintivo especial para los EV, pero esa era ya terminó
      Como el proceso de renovación era engorroso, en la práctica todo mejoró, aunque también hay una sensación de haber perdido algo
    • Hace unos 15 años, los certificados EV sí tenían valor en el proceso comercial, pero después de eso ya a nadie le importó

  • El TLS antes de Let's Encrypt era realmente terrible
    Había que pagar por cada host, validar el dominio manualmente y gestionar la renovación cada año
    Ahora basta con instalar una vez un cliente ACME, y la proporción de HTTPS subió de 30% a 80~95% en apenas unos años
    La verdadera innovación fue posible gracias a la automatización (ACME) y a la estructura sin fines de lucro
    Más adelante, la vida útil de los certificados se reducirá a 45 días, así que la instalación manual se volverá imposible
    Todavía hay áreas, como IoT o dashboards internos, donde falta automatización

    • Antes los certificados duraban 3 años, y los de 2 años recién aparecieron en 2018
      Let's Encrypt ya venía impulsando la automatización en ciclos cortos desde antes
    • Antes podías instalar un certificado gratis de 3 años y olvidarte, pero ahora hay sitios vencidos con frecuencia y eso es molesto
      Creo que la industria de TI en Estados Unidos expulsó del mercado a las buenas CA
    • Una empresa estaba migrando de stack y quiso comprar un certificado temporal, pero por decenas de subdominios wildcard el certificado de un año costaba 30 mil dólares
      Así que montaron su propia CA e instalaron eso en sus servidores internos, y al final volvieron a Let's Encrypt
      Ahora cuesta creer que todavía existiera un mercado para certificados tan caros
    • En el mundo IoT, me gustaría que el protocolo Matter incluyera funcionalidad ACME para que el hub actuara como su propia CA
      En la práctica probablemente sea difícil en hardware de gama baja, pero es lindo soñarlo

  • Cuando era administrador de sistemas por ahí de 2007~2011, generaba CSR directamente con openssl, compraba certificados en GoDaddy y los desplegaba a mano
    Viéndolo ahora, parece que el mundo cambió por completo
    Let's Encrypt es uno de los mejores servicios en la historia de internet

    • Ojalá existiera algo así también para S/MIME
    • Aquella época era una sucesión de tareas aburridas y engorrosas
    • Hasta hace unos años yo seguía haciéndolo manualmente, hasta que un amigo me mostró Let's Encrypt, y fue como magia

  • El caso Snowden también fue un gran impulso para la adopción de TLS
    Antes de eso, se pensaba que solo los sitios donde circulaba dinero necesitaban TLS, y el tráfico podía esnifarse con facilidad
    En una charla de alrededor de 2008, un investigador del IRS dijo que, al perseguir casinos ilegales, el cifrado no era ningún obstáculo

    • Pero eso es una reinterpretación posterior de los hechos (retcon)
      Facebook adoptó TLS en 2011 y Google Mail ya usaba TLS por defecto en 2010
      Hacia 2010, un sitio sin TLS ya podía considerarse una vulnerabilidad de seguridad
    • En realidad, desde fines de los 2000 HTTPS ya era indispensable por el HTTP con inserción de anuncios
      Más que la NSA, el mayor motor fue proteger los ingresos publicitarios

  • Está bien que cifrar el tráfico web se haya vuelto lo normal, pero da pena que ahora no puedas usar funciones básicas sin la aprobación de una CA

    • Me gustaría preguntar qué significa exactamente “la aprobación de una CA”
      Let's Encrypt solo verifica la propiedad del dominio; no interviene en el contenido del sitio
      Artículo relacionado: Phishing and Malware
    • No es un problema nuevo, sino una limitación estructural antigua que Let's Encrypt no resolvió
      En toda la pila hay muchos puntos únicos de falla
    • DNS también es, en la práctica, un componente obligatorio, así que la situación es parecida
      Ni las principales autoridades certificadoras ni los TLD suelen preguntar por la naturaleza del sitio

  • Cuando anunciaron Let's Encrypt, pensé: “Suena como una buena idea, pero ¿los navegadores la aceptarán?”
    Ahora la uso en todos mis sitios autohospedados, y mi empresa también planea pasar a renovaciones automáticas
    Si pienso en el sufrimiento que era SSL/TLS antes, cada vez que consigo un certificado de LE para un sitio nuevo se me dibuja una sonrisa

  • Espero que Let's Encrypt mantenga su independencia y no termine siendo adquirida por una gran empresa como Google
    Sería terrible vivir en un mundo donde la emisión de SSL pudiera usarse como herramienta de censura
    Hoy en día los navegadores casi hacen que los sitios HTTP se vean como algo malicioso

    • Si Google quisiera censurar, tiene herramientas mucho más fuertes que SSL, como la lista negra de Safe Browsing
    • Let's Encrypt es una organización sin fines de lucro, así que no puede ser adquirida como una empresa común
      Según la legislación fiscal de Estados Unidos, los activos de una entidad sin fines de lucro deben permanecer en ese ámbito, así que no hay riesgo de que una gran empresa la arruine

  • Cada año incluyo a Let's Encrypt en mi lista de donaciones
    En una época en la que todos los navegadores exigen HTTPS, sin este servicio a los desarrolladores indie les habría costado mucho sobrevivir
    De verdad es un proyecto por el que sentirse agradecido

  • Estos últimos 10 años han sido excelentes
    Hacia adelante, hace falta descentralizar la infraestructura de emisión y fortalecer la resiliencia
    En zonas insulares internet se corta seguido, y si la vida útil de los certificados se acorta eso puede volverse un problema
    Ojalá colaboren con registros de ccTLD para construir sistemas regionales de emisión

  • Llevo 7 años usando Let's Encrypt
    Me permitió tener mi blog y proyectos personales en HTTPS, y eso mejoró mucho mi vida
    Probablemente no habría pagado 50 dólares al año por algo como Nextcloud, pero el impacto en la seguridad es enorme
    Gracias a todas las personas que hicieron del mundo un lugar un poco mejor