Let's Encrypt: lecciones de 10 años de éxito

En el campo del software en general y del código abierto en particular, la tasa de éxito de las fundaciones varía mucho. En algunos casos, la falta de apoyo de los proveedores de la nube es evidente, como en el caso de la Open Enterprise Linux Association y OpenTofu, mientras que en otros, como Kubernetes, la comunidad cuenta con el apoyo de su fundación. De hecho, las fundaciones pueden ayudar a fomentar la comunidad, pero no son en sí mismas una garantía de éxito. Por eso Let's Encrypt y el Grupo de Investigación de Seguridad de Internet (ISRG) son tan fascinantes.

Las razones de su éxito no son obvias y, sin embargo, diez años después, Let's Encrypt de ISRG ha emitido más de mil millones de certificados para proteger más de 360 ​​millones de sitios web. También es probable que Prosimmo (proyecto de seguridad de la memoria) y Divvi Up (sistema de medición de preservación de la privacidad) sigan este modelo. Incluso si muchas otras fundaciones no logran victorias similares, como sucedió con OpenStack. La pregunta es por qué. ¿Por qué Let's Encrypt tuvo éxito y qué lecciones pueden aprender de él otras organizaciones sin fines de lucro o proyectos de código abierto?

10 años de seguridad en Internet

Una de las principales razones del éxito de Let's Encrypt es que resolvió un gran problema. Cuando se creó Let's Enrypt, solo el 28% de las cargas de páginas en la web eran seguras. "Había muchas otras opciones disponibles, como TLS y SSL, pero no se utilizaban mucho", recordó Sarah Gran, vicepresidenta de comunicaciones de ISRG. "Para avanzar verdaderamente en la seguridad web, esto necesitaba cambiar y estar más en línea con el ritmo de crecimiento y dependencia de Internet que los usuarios experimentaban todos los días", dijo. ella agrega. Let's Encrypt no intentó cambiar las cosas con anuncios de servicio público. Se centró en automatizar y simplificar el proceso de obtención de certificados. Cuanto más fácilmente pudieran los desarrolladores adoptar y aplicar certificados a sus sitios web, más probabilidades habría de que los utilizaran. Como dijo Steve O'Grady de RedMonk: "La facilidad de uso supera todo lo demás para los desarrolladores".

Además, también influyó el hecho de que el Internet Security Research Group y su iniciativa Let's Encrypt no pretendían competir con las autoridades de certificación comerciales. "No estamos aquí para jugar a ser héroes", explicó Sarah Gran. “Todo lo que intentamos hacer es resolver un problema. Al trabajar con proveedores de certificados propietarios, Let's Encrypt podría centrarse en resolver el problema de la seguridad de Internet, sin atribuirse el mérito por ello”, añadió. Cuando le pregunté a Sarah Gran cuál creía que era el secreto del éxito de ISRG con Let's Encrypt, no dudó: “Sabemos lo que hacemos bien y nos atenemos a ello. Y lo que hacemos bien es abordar "problemas difíciles de infraestructura técnica", particularmente cuando se trata de seguridad en Internet, que ISRG aborda desde una perspectiva de seguridad. automatización, eficiencia y escala. El Grupo de Investigación de Seguridad de Internet se centra en la resolución de problemas discretos, de ahí el rotundo éxito de Let's Encrypt. Este mismo enfoque centrado en las bases también debería contribuir al éxito de Prossimo y Divvi Up.

Secretos efectivos del éxito.

Está claro que el enfoque de ISRG funcionó, permitiéndole trabajar con empresas "competidoras" sin ser competitivo. Sin embargo, es importante señalar que las bases no son esenciales para el éxito de un proyecto de software. En el mundo de las autoridades certificadoras, Comodo y Digicert prosperan junto con Let's Encrypt. Fuera del ámbito de la seguridad en Internet, ocurre más o menos lo mismo. Sería difícil argumentar que HashiCorp, MongoDB, Elastic, etc. no son muy populares y no disfrutan del éxito comercial que los acompaña. Tampoco se puede decir que la introducción de una fundación en un mercado garantice que funcionará mejor que los productos de un solo proveedor. Respecto a HashiCorp, aunque el proyecto OpenTofu se lanzó con la idea de proporcionar un fork de código abierto de Terraform, apoyado por la fundación HashiCorp, el CEO de la Fundación Linux, Jim Zemlin, me dijo que pensaba que “Terraform y OpenTofu íbamos a tener éxito por diferentes razones”. Él cree que Terraform tendrá éxito porque es un gran software respaldado por una empresa creíble. También cree que OpenTofu se hará con una gran parte del mercado: “Nadie quiere invertir importantes recursos de ingeniería en un proyecto que no sea de propiedad neutral o que no sea propiedad y esté controlado por una única entidad comercial. Esto conducirá a una "mejor inversión" en OpenTofu". Aunque las empresas que contribuyen a OpenTofu hoy en día son relativamente pequeñas, Jim Zemlin cree que "la dependencia de los proveedores intermedios del código desarrollado por OpenTofu creará un ecosistema más amplio a medida que más proveedores reinviertan para mejorar sus productos". río abajo".

Por tanto, los proyectos llevados a cabo por las fundaciones parecen condenados al fracaso con el tiempo. Pero, ¿por qué en este caso Kubernetes tuvo éxito mientras OpenStack fracasó, a pesar de que ambos cuentan con el respaldo de comunidades sólidas respaldadas por fundaciones? Según Jim Zemlin, "Resulta que los contenedores de Kubernetes proporcionaron la abstracción adecuada para cargas de trabajo en la nube y no para máquinas virtuales OpenStack". La tecnología es importante. Ningún fundamento puede oponerse al hecho de que también debemos estar en sintonía con las elecciones tecnológicas particulares de los clientes.

Seguridad de la memoria en cuestión

Lo que nos lleva de regreso al ISRG y su misión. Tal como lo hizo en 2015 con la seguridad de los sitios web, el Internet Security Research Group ahora descubre que la seguridad de la memoria plantea un problema igualmente importante. Como dice Sarah Gran, "Después de observar nuestra infraestructura y las diversas infraestructuras de las que depende Internet, descubrimos que gran parte está escrita en C y C++", con todos los problemas de seguridad de la memoria, errores y vulnerabilidades que esto implica. . ¿Por qué es esto un problema hoy? Después de todo, estos idiomas han sido problemáticos durante mucho tiempo. Sarah Gran reconoce que Microsoft y Google admitieron que la gran mayoría de sus vulnerabilidades provinieron de problemas de seguridad de la memoria, lo que destacó el hecho de que la seguridad de la memoria era un problema importante, que podría resolverse con lenguajes como Rust. ¿Será el éxito comparable al de Let's Encrypt? Es difícil decirlo, pero si en este caso particular resulta que una tecnología clara como Rust puede resolver este problema, entonces este éxito se vuelve mucho más probable. Ya sea una fundación sin fines de lucro o una empresa con fines de lucro, centrarse en resolver el problema de un cliente y, con suerte, también estar en sintonía con las opciones tecnológicas del cliente parecen ser más que nunca buenas garantías de éxito.