El ecosistema de la seguridad en la red cambió drásticamente en 2015 con la aparición de Let’s Encrypt, una autoridad de certificación sin ánimo de lucro que reformó el proceso de emisión de certificados digitales. Con el respaldo de gigantes como Mozilla, Akamai y Cisco, la iniciativa se presentó con un objetivo contundente: ofrecer un sistema de certificación “gratuito, automatizado y abierto”. En poco tiempo, recibió el apoyo de Google Chrome, lo que afianzó su influencia en el mercado.
El proyecto de Let’s Encrypt, aunque innovador, plantea cuestiones significativas sobre la dependencia de infraestructuras críticas de entidades norteamericanas. Esta situación genera implicaciones globales, especialmente en Europa, un continente que, a pesar de su evidente relevancia digital, carece de una infraestructura propia sólida en este ámbito.
Uno de los principales logros de Let’s Encrypt es su apuesta por la automatización. En 2019, el IETF publicó el estándar RFC8555, crucial para el desarrollo del protocolo ACME (Automatic Certificate Management Environment). Gracias a este avance, los servidores web pueden gestionar certificados digitales de forma automática, simplificando el proceso de seguridad HTTPS para desarrolladores y pequeñas empresas. No obstante, la automatización de Let’s Encrypt está limitada a la emisión de certificados de validación de dominio (DV), lo que contrasta con las normativas europeas que exigen una verificación más exhaustiva de la identidad del solicitante.
Desde su lanzamiento oficial, Let’s Encrypt ha experimentado un crecimiento monumental. Con miles de millones de certificados emitidos, se ha consolidado como una de las autoridades de certificación más utilizadas en el planeta. En 2020, al comenzar a operar con su propia raíz de certificación, la organización redujo su dependencia de IdenTrust, alterando la dinámica del mercado global.
Esta expansión ha planteado desafíos para otras autoridades de certificación, particularmente en Europa. Digicert, una de las pocas CAs europeas de relevancia, ha cedido cuota de mercado a sus rivales norteamericanos. Esta situación refleja un patrón preocupante para Europa, que, pese a ser la tercera región más grande del mundo en términos de usuarios de Internet, tiene un rol marginal en cuanto a infraestructuras críticas de la web.
El dominio estadounidense no se limita a las CAs. La mayoría de los navegadores web, claves para el acceso a Internet, son también de origen no europeo. Solo Vivaldi y Mullvad mantienen cierta relevancia en el continente, mientras que Opera ahora es propiedad china y Mozilla, pese a su transparencia, está influenciada en gran medida por perspectivas norteamericanas.
Esta dependencia de infraestructuras extranjeras en un mundo tan interconectado presenta riesgos estratégicos y económicos. Estados Unidos, al controlar aspectos clave de la web, ejerce una poderosa influencia sobre la seguridad online. Esta supremacía complica la soberanía digital de regiones como Europa, que no ha logrado establecer alternativas sólidas a pesar de esfuerzos regulatorios como eIDAS.
El marco eIDAS buscaba responder a esta situación con regulaciones adaptadas a la realidad digital europea, promoviendo certificados cualificados como los QWAC. Sin embargo, la limitada adopción y la falta de inversión en infraestructura propia han reducido su impacto, permitiendo que proyectos como Let’s Encrypt se consoliden globalmente.
Let’s Encrypt ha revolucionado el acceso a la seguridad web mediante su modelo accesible y abierto, fomentando la implementación de certificados HTTPS. No obstante, este éxito también pone de manifiesto la dependencia de infraestructuras de origen norteamericano. Europa, pese a su importancia digital, sigue relegada en la gestión de su propia infraestructura. Esta realidad resalta la necesidad urgente de que Europa adopte un enfoque estratégico para proteger su soberanía digital y asegurar que las futuras herramientas de seguridad web no dependan únicamente de actores extranjeros.
