En 2015, el ecosistema de la seguridad en Internet experimentó un cambio trascendental con la aparición de Let’s Encrypt, una autoridad de certificación sin ánimo de lucro que transformó el proceso de emisión de certificados digitales. Apoyada por gigantes como Mozilla, Akamai, Cisco, IdenTrust y la Electronic Frontier Foundation (EFF), Let’s Encrypt se lanzó al mercado con una promesa ambiciosa: “Es gratis, automatizado y abierto”. Apenas meses después de ser presentada, Google Chrome se sumó como patrocinador del proyecto, fortaleciendo su posición como uno de los protagonistas más influyentes en el ámbito de los certificados digitales.
Este fenómeno ha generado preguntas sobre la dependencia de la infraestructura crítica de Internet en entidades estadounidenses y sus consecuencias a nivel global, especialmente en Europa, donde se plantea una falta de contrapeso local en este sector esencial.
Uno de los avances significativos introducidos por Let’s Encrypt ha sido la automatización en la emisión de certificados. En 2019, el IETF (Internet Engineering Task Force) publicó el estándar RFC8555, que describe el protocolo Automatic Certificate Management Environment (ACME), desarrollado fundamentalmente por los creadores de Let’s Encrypt. Este protocolo permite a los servidores web obtener, renovar y revocar certificados digitales de forma automática, simplificando un proceso tradicionalmente complejo y haciendo que la seguridad HTTPS sea más accesible para desarrolladores y empresas pequeñas.
Sin embargo, esta automatización presenta una limitación evidente: Let’s Encrypt solo emite certificados de validación de dominio (DV), lo que asegura que el solicitante controla el dominio, pero no verifica la identidad de la organización o individuo tras él. Esto se contrapone con los certificados QWAC (Qualified Website Authentication Certificates) regulados por eIDAS en Europa, que exigen una verificación exhaustiva de la identidad legal y natural del solicitante.
Desde su salida de la beta en 2016, Let’s Encrypt ha visto un crecimiento vertiginoso, emitiendo miles de millones de certificados y consolidándose como una de las autoridades de certificación más utilizadas globalmente. En 2020, la organización comenzó a operar con su propia raíz de certificación, reduciendo su dependencia de IdenTrust, presente desde sus inicios. Este cambio también coincidió con una redistribución del mercado de certificados digitales, donde Let’s Encrypt ahora domina ampliamente.
No obstante, su crecimiento presenta desafíos para otras autoridades de certificación. Digicert, una de las pocas CA europeas significativas, ha visto una disminución en su cuota de mercado frente a sus competidores estadounidenses, y las cifras de IdenTrust han disminuido debido a su histórica relación con Let’s Encrypt.
Europa, a pesar de ser la tercera región económica más avanzada en número de usuarios de Internet, con 448 millones de habitantes y una penetración del 99%, desempeña un papel marginal en el ámbito de las infraestructuras críticas del web. De las principales CA a nivel global, solo Digicert tiene raíces en Europa, pero su cuota de mercado es minúscula en comparación con sus rivales estadounidenses.
El control estadounidense sobre estas infraestructuras no se limita a las autoridades de certificación. Los navegadores web, cruciales para el acceso a Internet de miles de millones de personas, también están mayoritariamente bajo control no europeo. Existen únicamente dos navegadores europeos de cierta relevancia: Vivaldi y Mullvad, mientras que Opera, de origen noruego, fue adquirido por intereses chinos en 2016. Incluso Mozilla, reconocido por su transparencia, opera bajo la influencia significativa de la perspectiva estadounidense, tanto en gestión como en financiación.
La dependencia de infraestructuras norteamericanas en un entorno tan globalizado como Internet implica riesgos estratégicos y económicos. Controlar elementos clave como autoridades de certificación, navegadores y protocolos permite a Estados Unidos conservar una influencia notable sobre la seguridad digital global. Esta situación complica los esfuerzos de Europa para alcanzar una autonomía digital robusta, a pesar de iniciativas como eIDAS, que no ha logrado establecer alternativas competitivas en el ámbito de la infraestructura tecnológica.
Aunque el eIDAS buscó establecer un marco regulador sólido para Europa mediante los certificados cualificados, su implementación limitada y la falta de inversión en infraestructuras propias han minimizado su impacto, dejando la puerta abierta a soluciones más rápidas y globales como Let’s Encrypt.
Let’s Encrypt ha democratizado el acceso a la seguridad web con su enfoque económico, automatizado y transparente, impulsando un aumento en la adopción de certificados HTTPS a nivel mundial. No obstante, este éxito también destaca la creciente dependencia de infraestructuras críticas de origen estadounidense. Europa, a pesar de ser un líder potencial en términos de usuarios de Internet, sigue atrasada en la gestión de su propia infraestructura tecnológica.
La historia de Let’s Encrypt y el predominio de las CA estadounidenses subraya la urgencia de un enfoque más estratégico y coordinado por parte de Europa para salvaguardar su soberanía digital y asegurar que la próxima generación de herramientas de seguridad en la web no dependa exclusivamente de actores extranjeros.
