L’initiative Let’s Encrypt, qui cherche à proposer des certificats SSL à tous ceux qui en auraient besoin, vient de lancer enfin sa bêta publique. Une étape importante puisque tous les détenteurs de sites peuvent désormais demander un certificat gratuit. Pour autant, tout n’est pas encore terminé.
Les certificats SSL sont un maillon essentiel, quoiqu’imparfait, de la chaine de sécurité sur le web. Un certificat agit essentiellement sur deux points il est utilisé comme une carte d’identité qui permet aux navigateurs de le reconnaître pour ce qu’il prétend être : un site authentique, le certificat indiquant notamment le nom de l’entreprise. Il est également obligatoire pour mettre en place des communications chiffrées pour protéger les données de l’utilisateur.
Des certificats SSL gratuits
Le problème principal des certificats, outre les soucis que peut rencontrer une autorité de certification faisant mal son travail, est qu’ils sont parfois payants. En fonction des besoins, la facture peut même être salée pour un petit détenteur de site ou une jeune entreprise. Et il lui faudra ensuite procéder à son installation.
D’où l’initiative Let's Encrypt, qui se propose de fournir gratuitement des certificats mis en service automatiquement. Elle est proposée par une alliance baptisée Internet Security Research Group (ISRG), qui regroupe notamment Mozilla, l’Electronic Frontier Foundation (EFF), l’Internet Society, Akami, Cisco et Automatic.
Le mois dernier, l’initiative avait franchi une étape importante : un accord avait été signé avec l’autorité de certification IdenTrust, permettant aux certificats ainsi générés d’être reconnus par pratiquement tous les navigateurs existants. Qu’on parle de Chrome, Firefox, Internet Explorer, Opera, Safari ou Edge, le petit cadenas vert apparaît donc bien à gauche de la barre d’adresses. Mais le service ne permettait alors qu’un accès très restreint puisqu’il lançait à peine une phase privée de test.
La bêta publique ouvre les vannes
Ce n’est désormais plus le cas avec le lancement de la bêta publique. Techniquement, n’importe quel possesseur de site web peut demander un certificat et obtenir donc le précieux sésame. Le client fourni permet de simplifier les démarches d'installation en automatisant une bonne partie du processus. Selon l’Electronic Frontier Foundation, qui a donné la première impulsion à ce projet, Let's Encrypt devrait permettre d’en finir avec la complexité d’une étape qu’il viendrait de ne plus ignorer aujourd’hui : le chiffrement des échanges. Du moins quand il est possible.
Qui dit bêta publique dit également projet non terminé : soit toutes les fonctionnalités sont là avec un nombre potentiellement élevé de problèmes, soit leur nombre est réduit et évoluera dans les mois qui suivent. Pour Let's Encrypt, c’est le second cas puisque de nombreuses fonctionnalités manquent encore à l’appel, notamment le renouvellement totalement automatisé des certificats, le support des configurations automatiques et d’un plus grand nombre de serveurs (Nginx, postfix, exim et dovecot ne sont pas encore de la partie), ou encore de nouveaux outils pour aider l’utilisateur à se dépêtrer des éventuels soucis de configuration rencontrés sur des fonctionnalités comme HSTS (HTTP Strict Transport Security).
Il reste donc encore beaucoup de travail, et le bulletin de l’EFF indique d’ailleurs que toutes les bonnes volontés sont les bienvenues, en particulier les développeurs maitrisant le langage de script Python. En attendant, le client d’installation peut être utilisé en suivant la procédure décrite dans la documentation de Let's Encrypt. Plusieurs méthodes sont disponibles, y compris une avec Docker, mais l’ensemble est prévu pour fonctionner sur un serveur Linux avant tout. Un certain nombre de plugins est également disponible, notamment pour Apache, et d’autres seront ajoutés par la suite pour les serveurs IMAP, SMTP ou encore IRC.
La gratuité et la simplicité font mieux ressortir les problèmes restants
Notez bien que l’initiative, si elle devait remporter un franc succès, permettrait effectivement de jouer un rôle crucial dans la sécurité globale du web. De très nombreux sites ne proposent pas de chiffrement des échanges, même sur des parties essentielles comme la connexion du compte client et l’envoi de données sensibles. Mais un chiffrement intégral pour un site signifie aussi souvent se débarrasser complètement des publicités, ou s’arranger pour que les espaces publicitaires disposent eux du HTTPS, ce qui est complexe à obtenir.
Il s’agit d’une problématique que nous avions exposée il y a deux mois. La publicité est souvent considérée comme une gêne, mais un grand nombre de sites n’ont pas réellement le choix. De fait, l’initiative Let's Encrypt est d’autant plus intéressante qu’en supprimant les deux problèmes principaux – la complexité de mise en œuvre et le coût – elle fait ressortir les derniers ilots de résistance, tout en posant la question du pourquoi.
Commentaires (92)
#1
Une grande nouvelle pour le petit peuple!
" />
#2
j’ai beta-testé hier soir et ça marche super bien!
#3
Intérêt par rapport à startssl ?
#4
Multi domaine (pas encore de wildcard), renouvelable à souhait, pas obligé de payer pour révoquer le certificat.
Pas obligé de fournir ses données personnelles (noms & prénoms civils) à une société tierce.
#5
#6
#7
Certificat X509 !
" />
Faut que je teste à l’occasion, mais je suis doute sur quelques points :
Bon par contre, il me semble que les certifs issus de clés ECDSA seront acceptés début 2016
#8
c’est automatique et simple.
en gros StartSSL il faut t’enregistrer chez eux, ils t’envoient un certificat pour t’authentifier sur leur site, ensuite tu authentifie un mail, ensuite tu peux commencer la procédure pour avoir un certificat non wildcard et pour 1 sous domaine uniquement.
là tu lance une commande depuis ton serveur et tu as ton certificat immédiatement (sans besoin de s’enregistrer au préalable) pour un sous domaine pour 90 jours sans restrictions de nombre de certificat (tu fais un certificat par sous domaine mais tu n’a aucune limite de nombre de certificat)
#9
pour info, nginx est “supporté” expérimentalement. j’ai pas testé personnellement, je préfère passer par le standalone et redémarrer nginx une fois le certif mis au bon endroit (automatiquement)
#10
Je vais attendre un peu d’avoir des retours mais ça a l’air très prometteur.
#11
Honnêtement avec startssl j’ai fait mon domaine 3 et sous domaine il faut les faire un par un , pour un usage perso mis a part la révocation je vois pas ce que ça apporte de plus.
pour les info perso, mon nom et mon adresse sont des données publique donc je vois pas ce que ça change.
#12
tu as passé combien de temps pour faire ton certificat chez startssl? et pour le renouveler?
là avec letsencrypt, c’est dans un crontab donc tu t’en occupe une fois (ça prend 5 minutes à faire la commande qui sied à ta configuration) et tu le laisse se faire en auto définitivement.
#13
Mais moi je me pose une question, obligé d’avoir un serveur pour générer ton certificat ?
Parceque la je suis tenté de le mettre sur mon synology et du coup avec startssl j’ai juste rajouté les fichiers de certificat et non lancé une commande et installé qqch sur mon serveur…
Comment je pourrais faire dans mon cas ? :/
#14
L’inscription environ 5 min, la création des 4 certifs et leur installation sous apache environ 10 min et encore je suis un noob, après oui il faut renouveler 1 fois par an.
#15
A force de renouveller mon certificat “backup” (HPKP impose d’en avoir un deuxième) qui vient de CACert (tous les 6 mois), je change un certif (avec changement de clé privée donc), je le fais en moins de 10 minutes, tout à la main (ça permet de la garder
" />, et de vérifier de visu qu’il n’y a pas d’erreur derrière)
" />
Bon, faut pas avoir 150 certif à changer
#16
tu peux faire la manip en manuelaussi, ça prend un peu plus de temps et ça diminue grandement l’intérêt de la chose. du moment que letsencrypt peux récupérer les informations et vérifier que les domaines que tu veux authentifier sont bien à toi.
attention, les certificat sont valide pour 90 jours max du fait de l’automatisation possible. cela afin de diminuer les impact d’un certificat qui serait compromis.
#17
#18
#19
+1
#20
CACert, je l’ai sur un autre domaine que celui qui est maintenant géré par letsencrypt, et le seul soucis qui va faire qu’il va passer lui aussi sur letsencrypt sous peu, c’est que c’est 6 mois de validité et renouvellement à la main dans une interface en vieux php 4 pas ergonomique du tout…
" />
#21
bah je sais pas quoi te dire :
https://cloud.amonitux.net/
https://ts3.amonitux.net/
https://transmission.amonitux.net/
Après ya le www mais j’ai rien a mettre dessus donc je l’utilise pas.
#22
Quelqu’un a réussi avec Windows ?
Pas mal de tentatives sans succès avec le logiciel officiel qui ne semble pas fonctionner malgré Python installé, et un autre logiciel Windows qu’il m’a fallu compiler avec vs2015 et n’est compatible qu’avec IIS (j’utilise Apache).
Est ce qu’il y a un logiciel let’s Encrypt pour générer un certificat valable pour tout logiciel, dont serveur FTP, Web Apache ou même Exchange ?
J’ai pas besoin d’un configurateur automatique, juste générer des certificats.
Merci
#23
A mon avis pour que le wildcard soit accepté, il faudrait s’assurer que le domaine soit signé avec DNSSEC et que ce dernier utilise NSEC (pour certifier qu’un sous-domaine n’existe pas).
Sinon, effectivement, trop de risque d’usurpation par un méchant
#24
Oui mais si le mec a déjà pété ton serveur pour squater en douce, il peut aussi générer le nouveau certificat kivabien
" />
#25
Je me plaçais dans l’optique d’un méchant qui falsifie le (trafic) DNS pour orienter vers méchant.example.org (à supposer que example.org n’utilise pas DNSSEC donc)
" />
" /> 
" />
Si il a accès à la machine, faut changer de métier
#26
Bah le squatage étant évoquer sur le sujet auquel tu répondais, je tenais à le préciser
" />
" />) : si le trafic DNS est falsifié, il y a moyen de péter le truc non ? Si tu falsifies jusqu’au réponse du DNS root ?
Pour DNSSEC (que je ne maitrise pas
#27
Si je comprends bien, c’est aux hébergeurs d’intégrer le truc et proposer le ssl gratuit via leurs interfaces ?
C’est cool, y aura peut etre plus a payer 50€/ans pour du ssl. Même si y en a qui en proposent pour 10€/ans. Toute façon, en général c’est pour rassurer les visiteurs, la pluspart des sites de péons, y a pas de transactions ou trucs critiques.
#28
Si c’est gratuit, ce que c’est nous le pro… ah ben non, c’est juste un très bonne initiative
" />
#29
#30
Çase renouvelle tous les 90j?
Ce serait cool qu’il y a un outil pour Netscaler!
#31
#32
DNSSEC utilise l’arborescence du DNS pour vérifier avec la crypto qu’une réponse est correcte. Donc, c’est chaud (à moins qu’il ne parvienne à modifier la clé privée de example.org et à diffuser une fause signature - on en revient à un problème d’accès à une machine
" />)
L’AFNIC (très active sur le sujet) possède un bon guide
#33
Le plus important n’est pas l’identité physique de la personne, mais le fait que celui qui demande le certificat soit bien le propriétaire du domaine. Je suppose qu’ils le vérifient par e-mail.
#34
#35
Ça n’apporte pas la même sécurité niveau authentification qu’un verisign pour les sites commerciaux.
Par contre pour les sites persos ça suffit largement. L’idée étant surtout d’augmenter le traffic chiffré sur Internet.
#36
comme ca tati danielle pourra telecharger des malwares en https en toute securite !
gerard de la compta aussi
Au final personne ne va y gagner avec ca, les proxy https vont juste se democratiser un peut plus
#37
non, en postant directement depuis le serveur en question (pour du web).
en gros soit il modifie la conf de apache/nginx et place des données qui sont récupérées ensuite par le serveur de certification qui va aller vérifier sur domain.org: 80 ou :443 que les données sont bien présentes.
soit il génère un petit serveur standalone en python et le met en écoute sur le port 80 à la place du serveur web habituel et la suite est la même.
si tu veux pas modifier tes serveur web, tu peux lui dire de créer les fichiers directement dans le webroot du serveur (en lui spécifiant le chemin), mais ça merde un peu généralement si ton serveur est correctement sécurisé. (droits root ne passent pas, et chemin non connu mis en 403 directement, pour ma part)
j’ai pas testé la méthode manuelle, je ne sais pas comment il opère.
#38
Et pour la validation, que font-ils ? Envoi d’email sur l’adresse du whois ?
#39
Si, si. C’est toujours toi le produit.
Mais pour que tu continues à être un produit rentable, il faut que tu aies confiance dans le système mis en place. Et aujourd’hui, la confiance s’appelle “le petit cadenas”. Alors on va te proposer du “petit cadenas” partout, gratuitement.
#40
non, ça c’est startssl.
ici l’adresse email est demandée uniquement à des fins de communication et peux être sur un autre domaine.
la validation se fait en direct: le client letsencrypt place un fichier défini sur ton serveur web, le serveur letsencrypt le récupère via l’adresse du domaine et en déduit que le serveur qu’il a modifié se trouve bien à l’autre bout du domaine interrogé. validation effectuée, certificat délivré, tout ça en automatique.
Pour l’instant ce n’est que pour le web, et très orienté Linux.
#41
mouais, pour un vendredi on a connu mieux…
" />
#42
Pour certain, comme moi, ce n’est pas leur métier. :) Je suis dév, pas admin, mais par la force de chose j’ai dû l’être un peu. Et je me rends bien compte que ce sont des domaines qui n’ont rien à voir.
#43
Merci :)
#44
Boarf, je suis pas admin et encore moins dev
" />
" />)
(mais le premier m’INtéresse beaucoup, au point d’être admin du dimanche et le deuxième aussi, mais c’est plus de math
#45
#46
Sauf qu’il faut soit payer un hébergeur qui accepte d’installer n’importe quel certificat, soit héberger son site soi-même.
Donc, si l’on ne peut pas faire d’auto-hébergement, SSL aura toujours un prix.
#47
J’ai eu un peu de mal à voir le rapport en mon message et ta réponse
" />
C’est intéressant comme méthode, mais c’est au final assez contraignant. De mon point de vue, si tu es obligé d’installer python et/ou un serveur web pour obtenir ton certificat, c’est beaucoup d’embêtement. Par exemple si j’en veux un pour mon NAS, qui a ma connaissance n’a pas python, et pour lequel ne n’ai pas totalement la main sur le serveur web, j’ai l’impression que je vais au devant de beaucoup d’embêtements.
#48
Ouai, mais l’hébergement c’est une tout autre problématique à laquelle ne cherche pas à répondre Let’s Encrypt.
“La voiture ça ne marchera jamais parce qu’on ne peu pas passer les océans avec”.
Mais on peut espérer qu’avec leur initiative et leur com ils sensibiliseront les gens à la question, et que les choses évolueront aussi côté hébergement.
#49
Un âme charitable pour sortir une appli (même payante à quelques €) pour Synology….?
#50
#51
en effet. pour un nas sur lequel on n’a pas forcément la main sur les services et le lerveur web en particulier, ça peut être un peu chaud.
après rien n’empêche de faire une redirection temporaire de ton NAT vers une petite machine avec un linux avec python, de générer les certificat puis de les récupérer et les utiliser sur ton NAS ensuite.
c’est galère, et certainement moins pratique qu’avec startssl pour le coup.
pour ma réponse, c’était parce que tu parlais de mail alors que la validation ne se fait pas comme ça.
#52
J’ai pas mal de client avec des serveurs Exchange 2013 avec des certificats autosignés car il ne veulent pas débourser la somme. Ca fonctionne ou pas encore avec les certificat lets encrypt ? :P
#53
#54
#55
Validation fichier donc.
Merci, je me demandais la façon qu’il avaient choisi.
#56
#57
#58
Merci d’avoir pris le temps de me faire une réponse très claire. je vois mieux maintenant à quoi ça sert.
" />
#59
Pourquoi un client à installer plutôt que de passer par le classique “Génération CSR + Key, signature et délivrance du CRT” ?
#60
#61
#62
#63
Non le certificat expire au bout de 90 jours, et il est conseillé de le renouveler quelques jours avant (en automatisant bien sûr, bien pratique en théorie).
Pour ma part j’ai trouvé une autre version du letsencrypt-win-simple (pour Windows) et en demandant une création manuelle de certificat j’ai pu faire fonctionner avec Apache, mais c’est “quasi” obligé d’exécuter le programme sur le serveur car il place un fichier dans la racine du site web et vérifie sa présence tout de suite.
Pour mes tests je n’ai pas fait ainsi, je voulais juste voir si ça allait : VPN + Partage de fichiers Windows, et exécution du programme seulement en VM, ça m’a bien généré divers certificats mais erreur à la fin, alors j’ai vite copié ce qui avait été généré dans %APPDATA% et Apache a accepté tout ça et le certificat est vu comme valide par Firefox et IE (pas testé autre chose).
C’est donc bien perfectible, il faudra que je vois à l’usage la facilité dont pour le renouvellement, mais pour certains cas ça va demander du pure bricolage pour tout automatiser (dont pour les NAS).
#64
il y a des gens qui ont réussi a générer du certificat pour web application proxy de MS ?
#65
#66
#67
des certificats SSL gratuits pour tous
Ou pas :( J’ai tenté sur mon VPS chez OVH mais pour lui ça corresponds à ovh.net du coup “too many certificates were issued”
#68
Si quelqu’un a un tutoriel pour IIS, je suis preneur !
En tout cas très bonne initiative de la part de la fondation.
#69
Apparemement “letsencrypt-win-simple” est surtout fait pour IIS actuellement, même s’il permet aussi de créer des certificats manuellement.
#70
#71
C’est une blague ?
90 jours est déjà très faible et ils veulent encore réduire ?
Le renouvellement automatique a ses limites…
#72
#73
Même à 90 jours ça va demander de créer des scripts bien spécifiques + vérifications, sachant qu’on peut avoir tout un tas d’appareils différents et donc pas de script “générique” possible.
Exemples : Routeurs, NAS, Serveurs Web Windows + Linux, Serveurs FTP, Serveurs emails, Exchange, etc…
Je sens que je ne vais pas m’ennuyer…
#74
#75
#76
#77
Typo : akamAI et automaTTic (ai pour le premier, et tt pour le second) ;)
#78
J’utilise un certificat Let’s encrypt avec Prosody (serveur xmpp). Y’a besoin d’un serveur web pour la validation du domaine, mais ensuite le certificat on en fait ce qu’on veut. Sachant que le serveur web peut être le client.
Et aussi, on peut créer un seul certificat pour plusieurs (sous-)domaines. C’est pas du tout limité à un certificat par domaine.
#79
On en parle des hébergeurs qui font payer la mise en place du SSL/TLS, même avec son propre certificat ?
" />
#80
ce qui se fait de + en + c’est le offloading SSL
chez moi, les cert sont sur le haproxy donc pas de vhost / apache ici
je pense que je suis bon pour une install manuel …
pas encore lu tous les docs ceci dit ;)
#81
#82
oui, mais il faut que les sous domaines soient tous accessible via le web. après si le xmpp.domain.machin:443 et le xmpp.domain.machin:5051 ne fournissent pas le même service, effectivement on s’en fout, ça marchera pareil avec le même certificat.
#83
#84
“Once automated renewal tools are widely deployed and working well, we may consider even shorter lifetimes.”
" />
Effectivement, j’avais zappé ce passage. Merci
#85
“Once automated renewal tools are widely deployed and working well, we may consider even shorter lifetimes.”
" />
Effectivement, j’avais zappé ce passage. Merci
#86
au risque de provoquer un outage ?
je parle d’une prod a x*k hits/ min
mais par dessus tout, ca m’embete d’installer un paquet de soft pour gerer tout ça
apres je dit pas, pour la majorité de petit site, ca fait surement tres bien le job ;)
#87
Je vais être plus précis. Chez OVH, je n’ai jamais trouvé comment faire pour mettre son propre certificat autrement qu’en payant. Pourtant, HTTPS est déjà activé, avec leur certificat (du coup avertissements et compagnie). Ou alors je suis aveugle.
#88
ouais mais letsencrypt s’adresse avant tout à des petits sites. si tu as un site à fort traffic, je pense que c’est que c’est ta source de revenu principale, et que tu peux donc payer pour sa certification.
après, vu que c’est automatisable, rien n’empêche de le faire à un moment où ça impact moins aussi.
de toute façon, pour prendre en compte le changement de certificat, il faut au moins faire un reload du service.
#89
En fait il y a déjà StartSSL qui propose des certificats gratuits.
Quelle est la différence entre StartSSL et Let’s Encrypt ?
#90
si tu veux pas relire les commentaire de ce fil: startssl ne fais qu’un seul sous domaine par certificat et est loin d’être automatisable.
#91
Je ne suis pas sûr de te suivre là. Tu parles de la mise en place d’un certificat TLS pour un site web hébergé chez OVH ? J’ai peur que cette discussion s’éloigne du sujet initial. N’hésite pas à me faire un retour par MP. Si je peux t’aider je le ferai =)
#92
Exactement. Et oui, volontiers. Mon pseudo sur le forum, c’est le même qu’ici
" />