Als Snowden im Sommer 2013 die Bombe platzen ließ, westliche Geheimdienste, allen voran die amerikanische NSA und der britische GCHQ, würden den gesamten Datenverkehr im Netz an zentralen Knotenpunkten ausleiten, reagierten nicht nur große Konzerne höchst verärgert. Google etwa stellte innerhalb kürzester Zeit den Mail-Verkehr um auf SSL geschützte Kommunikation und Anwender interessierten sich plötzlich für Anbieter, die sichere Kommunikation anboten wie Mailbox.org, Posteo oder ProtonMail. Als Google 2014 zudem bekannt gab, die SSL-Verschlüsselung von Websites im Ranking der Suchergebnisse zu berücksichtigen, erhielt die Entwicklung einen zusätzlichen Schub.
Ende 2014 stellte die Let's Encrypt-Initiative ihr Projekt der Öffentlichkeit vor. Die Verschlüsselung des Datenverkehrs im Web voran zu bringen, war das erklärte Ziel. Daher sollten Zertifikate kostenfrei sein, die Beschaffung von Zertifikaten sollte schnell und unkompliziert funktionieren und das Aktualisieren sollte automatisch ablaufen. Ab Ende 2015 stand der Dienst dann öffentlich zur Verfügung und die Entwicklung nahm einen rasanten Verlauf. Laut Zahlen, die die Mozilla Foundation über die Nutzung ihres Browsers Firefox erhebt, waren im Herbst 2013 27% des Datenverkehrs, den der Browser abwickelte, verschlüsselt. Als Let's Encrypt Ende 2015 an den Start ging, war der Anteil immerhin auf 39% angewachsen. Aber heute, etwas mehr als zwei Jahre später, überwiegt die verschlüsselte Kommunikation deutlich: der Anteil liegt bei 69%.
Das Wachstum dürfte noch nicht vorbei sein: Die Initiative, hinter der unter anderem die Electronic Frontier Foundation (EFF), die Mozilla Foundation, Google und die Linux Foundation stehen, hat gerade ihre Dienstleistung erweitert und stellt nun auch Wildcard-Zertifikate aus, die nicht mehr an einzelne Server gebunden sondern für komplette Domains gültig sind.
Zu beachten ist: Let's Encrypt sorgt für Verschlüsselung und erhöht damit die Vertraulichkeit der Kommunikation. Aber ein Zertifikat von Let's Encrypt sagt nichts über den Betreiber einer Website aus. Im automatischen Beschaffungsprozess wird nur geprüft, ob der angestoßene Prozess mit dem Zugriff auf den Server oder die Domain verbunden ist. Für weitergehende Zertifikate, die explizit für eine bestimmte Organisation oder Institution ausgestellt sind, muss man sich nach wie vor an entsprechende Zertifizierungsstellen wenden.