Habemus Let’s Encrypt!

[English version below]

Con grande gioia vi annunciamo un altro passo avanti negli strumenti che mettiamo a disposizione per una comunicazione libera e autonoma.

tl;dr: grazie a Let’s Encrypt la CA non serve più!

… che poi vorrebbe dire: avete presenti quei messaggi inquietanti che vi mandava il vostro browser quando aprivate le pagine di A/I e di Noblogs? Be’, quella storia è finita! Ora potete andare a festeggiare, oppure continuare a leggere le nostre spiegazioni più sotto (noi vi raccomandiamo la seconda opzione…). Ma soprattutto ricordate: se continuate a ricevere messaggi inquietanti, stavolta vale la pena di preoccuparsi.

letsencrypt

Come sapete, i nostri servizi online supportano – o in certi casi richiedono – l’uso di SSL, un sistema crittografico basato sulla distribuzione di certificati che garantiscono una connessione sicura ai vari server. L’integrità di questi certificati è fondamentale e non abbiamo mai accettato di partecipare al sistema di distribuzione commerciale dei certificati SSL; questo avrebbe significato mettere il rapporto di fiducia tra noi e i nostri utenti nelle mani di soggetti di cui non ci si può fidare: stati, forze “dell’ordine”, aziende il cui solo fine è il profitto.
Perciò finora abbiamo gestito la cosa autonomamente con una nostra Autorità di Certificazione (CA). Il rovescio della medaglia era la necessità – per i nostri utenti, ma anche per i semplici visitatori dei siti web – di seguire una procedura un po’ complicata per installare il certificato della nostra CA.

Non siamo mai state completamente contente di questa situazione, perché crediamo che per risultare efficace la crittografia debba essere utilizzabile senza difficoltà. Da questo punto di vista, il progetto Let’s Encrypt è un’importante risorsa per chiunque usi internet, ma il beneficio per noi e voi è ancora maggiore, perché l’utilizzo di SSL con i server di A/I ora diventa più semplice.

Cosa cambia nella pratica?

  • La nostra CA e la procedura di installazione del suo certificato scompaiono.
  • I certificati SSL dei domini di A/I sono ora firmati dalla CA di Let’s Encrypt.
  • … e soprattutto il certificato della CA di Let’s Encrypt è già installato nel browser che state usando: Non serve quindi fare nient’altro per poter navigare correttamente sui nostri siti web via HTTPS o per stabilire una connessione sicura con i nostri server di posta.
  • L’unica cosa che vi raccomandiamo di fare è di controllare che i vostri
    client siano tutti configurati per non accettare certificati SSL non validi
    (come per esempio consigliavamo di fare per Xchat).

Troverete informazioni aggiornate nella pagina di documentazione specifica su SSL.



[English version]

We have some good news about the tools for a free and autonomous communication we provide you with.

tl;dr: thanks to Let’s Encrypt our CA has become useless!

… which means: do you remember those alarming messages you used to get from your browser when you opened a page in A/I’s website or in Noblogs? Well, that nuisance is finally over! At this point you can go out and celebrate or keep reading our explanations below (and we suggest you do). But what’s more important, from now on, if you receive alarming messages it will be a good idea to believe them.

As you know, our online services support – and sometimes require – the use of SSL. SSL is a cryptographic system based on the distribution of certificates which allow users to establish secure connections with servers.

With SSL, the integrity of certificates is paramount. We have never accepted the compromise of dealing with the commercial distribution system of SSL certificates. We believe that that would have put the trust relationship between us and our users into the hands of subjects that can’t be trusted: nation states, law enforcement agencies, corporations who only care about profit.
Up to now, instead, we’ve been managing this on our own, through self-signed certificates. Unfortunately a safe use of our self-signed certificates required users to read long instructions, and follow somehow complicated steps. This never made for a good, smooth experience.

Enters Let’s Encrypt, a certificate authority – founded by the Electronic Frontier Foundation and others – which recently started providing free SSL certificates with the explicit aim of facilitating and spreading the use of web cryptography.
All major browsers now ship with the Let’s Encrypt Certification Authority.
Certificates signed by Let’s Encrypt get automatically recognized by your system, no further steps required.

Our infrastructure comprises many services, and we have lots of web domains, so some coding work was needed to make our systems interact with Let’s Encrypt in an effective way.
Now, we’re able to automatically create SSL certificates signed by Let’s Encrypt for most of our domains.
This means no more need for our own Certification Authority – and easier secure connections for everybody!
The only thing we recommend you to do is to check your clients settings (in particular Xchat) so that your client does not accept invalid certificates.

2 Responses to “Habemus Let’s Encrypt!”

  1. Tichy Says:

    Ma se ho già la precedente CA installata nel sistema, devo rimuoverla?

    PS. Mi sono accorto solo ora che avete meso recaptcha di google… ma ci si può fidare?

  2. Tichy Says:

    jabber.autistici.org continua ad usare il vecchio certificato, oppure ho visto male?