Según NetTrack , Let's Encrypt ahora se usa en más del 50% de los dominios (51.21% a abril de 2018).
Sé que Let's Encrypt ayudó a muchas personas a obtener certificados gratuitos para sus sitios web, por lo que creo que su existencia fue algo muy bueno para la web.
¿Pero el hecho de que la mayoría de los usuarios utilice una autoridad de certificación genera riesgos de seguridad?
Nota: esta pregunta es agnóstica de CA, incluso si Let's Encrypt es la CA principal en la actualidad.
TL; DR : No importa mucho.
El único "riesgo" de seguridad aquí es que la CA es "Demasiado grande para fallar", donde los navegadores no pueden desconfiar de la CA rápidamente. Pero esto les está sucediendo a todas las grandes CA, no solo a las más grandes.
Aparte de eso, el único problema puede ser que la CA sea un objetivo más tentador, aunque todas las CA ya son muy tentadoras. Tener todos los huevos en una canasta tiene sus ventajas y desventajas en esta situación. La ventaja es que necesitas proteger solo una cesta, la desventaja es que si esa cesta se rompe, el impacto es algo mayor (asumiendo que se utilizan tecnologías como CAA y HPKP, de lo contrario no importa qué tan grande sea la CA).
Para romper esta discusión con los comentarios sobre la otra respuesta: un problema con una sola CA que domina es que si hay un problema que requiere que sea reemplazado (por ejemplo, los navegadores dejan de confiar en él o fracasa), es necesario estar en un lugar para que todos emigren. Esto es cierto para cualquier CA, pero si los clientes se reparten entre muchos proveedores diferentes, hay un número menor que necesita migrar, y el cambio de proveedor será más común a medida que las personas busquen la mejor oferta.
En el caso extremo, un monopolio en colapso requeriría la creación de una CA completamente nueva, o al menos una pequeña para escalar muy rápidamente. Si los certificados existentes fueran confiables, pero ninguno fuera emitido después de cierta fecha, la escala de tiempo dependería de la duración de los certificados.
Si la CA emitía certificados cortos y dependía de sistemas de renovación automática, entonces los usuarios tendrían que reemplazar su infraestructura de automatización, o la nueva CA necesitaría proporcionar un servicio compatible. Esto sería algo más fácil si el servicio provisto por la antigua CA se basara en estándares abiertos o en código de fuente abierta (como sucede en el caso de Let's Encrypt), ya que la nueva CA no necesitaría realizar ingeniería inversa para tomarlo. terminado; de manera similar, puede haber escenarios en los que la antigua AC estaba dispuesta a cooperar en la transición. Todavía habría un esfuerzo involucrado si la nueva CA aún no estuviera implementando el mismo protocolo, por supuesto.
Lea otras preguntas en las etiquetas public-key-infrastructure tls certificates certificate-authority letsencrypt