Let's Encrypt : un million de certificats, un changement de nom à venir et OVH en embuscade

Let’s Encrypt : un million de certificats, un changement de nom à venir et OVH en embuscade

La France en bonne place

Avatar de l'auteur
David Legrand

Publié dans

Internet

14/03/2016 5 minutes
42

Let's Encrypt : un million de certificats, un changement de nom à venir et OVH en embuscade

Trois mois après le début de la bêta publique, Let's Encrypt fête son premier million de certificats distribués. L'occasion d'un premier bilan et de quelques annonces, de la part de l'ISRG ou de ses différents partenaires.

En bêta publique depuis maintenant quelques mois, Let's Encrypt permet à n'importe qui de créer simplement un certificat SSL/TLS. Chacun peut ainsi en quelques manipulations en rajouter un au site qu'il héberge. Cela passe par le client officiel, mais aussi par d'autres solutions qui utilisent le protocole créé pour l'occasion : ACME (voir notre analyse).

Let's Encrypt déploie ses ailes, notamment en France

Ainsi, de nombreuses sociétés ont déjà mis en place une telle solution, c'est notamment le cas de certains hébergeurs, de Synology à travers son DSM 6.0 ou encore de la Freebox Révolution. Résultat, plus d'un million de certificats ont déjà été distribués et mis en place. Le cap a été dépassé la semaine dernière, comme on peut le voir sur la page dédiée aux statistiques du projet.

Selon le billet d'annonce de l'EFF, cela concerne 2,5 millions de domaines, dont 90 % n'était jusqu'à lors pas accessible via HTTPS. Pour le moment, rare sont ceux qui ont été révoqués puisqu'il est question d'un peu plus de 10 000, soit 0,9 % environ. Après le .com qui occupe le quart des résultats, le .fr est le domaine le plus souvent utilisé (9,55 %) avant le .de (8,82 %), .net (7,2 %), .org (6,08 %) et .ch (2,57 %).

Let's Encrypt Clients

Si la France est si présente, cela est sans doute en partie dû à l'intégration de la Freebox. En effet, malgré une multitude d'implémentations accessibles, c'est ce client qui a été le plus utilisé (6,9 % et plus de 60 000 certificats) après le client « officiel » (55,2 % et près de 500 000 certificats).

Le support arrive (enfin) chez OVH

OVH pourrait d'ailleurs renforcer cette tendance. L'hébergeur, qui est en retrait par rapport à ses concurrents comme Gandi et Infomaniak, a en effet choisi de retarder son intégration de Let's Encrypt. Elle nous avait été annoncée pour janvier, les forums officiels faisaient ensuite état d'une arrivée sous peu, et aux dernières nouvelles plus aucune date n'était prévue.

Mais sur Twitter, le fondateur et directeur technique de la société, Octave Klaba, a profité de l'annonce du millionième certificat pour promettre une mise en ligne d'ici la fin mars, ou le début du mois d'avril. A la clef selon lui, un million de certificats supplémentaires :

L'EFF et l'ISRG mettent quelques détails au clair

Au-delà de l'évolution du chiffre, c'est l'évolution même de Let's Encrypt qui va maintenant être dans tous les esprits. Cela passera par une première étape qui était bien nécessaire : un éclaircissement dans les dénominations et l'hébergement.

En effet, tout le monde utilise le terme Let's Encrypt de manière assez générique alors qu'il s'agit du nom de l'autorité de certification proposée par l'Internet Security Research Group (ISRG). Comme nous l'avions déjà évoqué, elle se base sur un protocole proposé à l'IETF, ACME, et une implémentation de ce protocole en Go, Boulder. Le client majoritairement utilisé est, lui, proposé par l'EFF et utilise Python.

Ainsi, en avril, ce client de l'EFF sera uniquement hébergé par la fondation et les clients de manière générale changeront de nom afin de mieux se démarquer de l'autorité de certification. D'autres peuvent en effet créer la leur et interagir avec ces clients en se basant sur le protocole ACME et donc proposer un service proche de Let's Encrypt, de manière différenciée.

« Nous pensons qu'il serait mieux pour Let's Encrypt de se focaliser sur la promotion d'un écosystème client/protocole sain et pour le client de se déplacer vers l'EFF. Cela nous permettra aussi de focaliser l'effort de nos équipes sur la construction d'une architecture fiable et en croissance forte pour notre activité de CA » a ainsi précisé Josh Aas, directeur exécutif de l'ISRG. 

Le client de l'EFF va continuer son évolution pour rester le plus utilisé

De son côté, l'EFF va donc continuer à faire évoluer son client, dont le nouveau nom reste à définir. La fondation espère ainsi que ce sera toujours une référence pour Let's Encrypt et promet de nombreuses nouveautés dans les semaines qui viennent. Les versions 0.5.0 et 0.6.0 vont ainsi se focaliser sur la mise en place d'un renouvellement automatisé et le support de Nginx à travers la première version d'un plugin dédié.

Sur un plus long terme, des éléments largement demandés devraient arriver comme la détection de vulnérabilités dans l'implémentation du certificat, la détection des cas de contenus mixés ou d'un site paré pour le déploiement de HSTS, etc. Mais c'est sans doute à travers la concurrence de la diversité de clients que chacun finira par trouver son bonheur.

Let's Encrypt n'en est qu'à ses débuts et rencontre déjà de très bons résultats, mais l'année qui vient sera cruciale pour son évolution et la propagation de l'accès HTTPS pour une majorité de sites web, qui rencontre encore de fortes réticences de la part des plus gros sites qui résistent encore, malgré les incitations de Google et du fait d'acteurs du secteur publicitaire qui ont du mal à se mettre à la page malgré les recommandations de l'IAB.

Écrit par David Legrand

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Let's Encrypt déploie ses ailes, notamment en France

Le support arrive (enfin) chez OVH

L'EFF et l'ISRG mettent quelques détails au clair

Le client de l'EFF va continuer son évolution pour rester le plus utilisé

Commentaires (42)


ça c’est une bonne nouvelle du coté d’OVH, et surtout des utilisateurs finaux. Déjà que Let’s encrypt était une bonne idée, mais avec de tel acteur, juste génial <img data-src=" />


Comme dit c’était annoncé depuis un moment :)


C’est une excellente nouvelle. Cela pousse tout le monde (moi compris, je viens de couvrir mes 3 domaines en full HTTPS forcé) à se mettre au SSL, et ça nous fera pas de mal, loin de là :)



Ça rend la chose accessible.


C’est bien et NXI n’est toujours pas en https ……..


pourtant, si. par COMODO via cloudflare.


Il y a eu plusieurs articles à ce sujet, et si je me souviens bien c’est en test chez les abonnés (je suis en HTTPS là), pour être à terme déployé partout. Corrigez si je me trompe.


Si :)&nbsp;


Déjà le cas pour les abonnés, la migration complète prend un peu plus de temps que prévu, mais c’est déjà déployé sur la version mobile par exemple ;)


Ou comme pour&nbsp;Automatic Certificate Management Environment &nbsp;;)


Klaba qui fait le fanfaron alors qu’il a trainé des pieds pour ne pas concurrencer frontalementsa petite vache à lait.

&nbsp;

&nbsp;


Tu entends quoi par là, vu qu’ils sont quand même sponsors Platinum et depuis un moment (l’implémentation est longue, mais ça n’est pas toujours aussi simple que de rajouter 2 lignes de code, le cas de Gandi l’a bien montré).








David_L a écrit :



Tu entends quoi par là, vu qu’ils sont quand même sponsors Platinum et depuis un moment







Dec 21, 2015 • Josh Aas, ISRG Executive Director



 We’re pleased to announce that OVH has become a Platinum sponsor of Let’s Encrypt.    





source: https://letsencrypt.org/2015/12/21/ovh-sponsorship.html



sachant que l’ouverture aux sponsors date d’Octobre 2015, et qu’ils sont un des rares en Platinium…

après ce n’est qu’un certificat qui prouve que tu as la main sur un serveur web, en aucun cas ça ne vérifie ton identité ou quoique ce soit d’autre, ce que peut faire un certificat payant.


Oui mais ça ne répond pas vraiment à la question. Je ne vois pas en quoi ça permet de dire qu’ils traînent des pieds. Pas mal sont arrivés au moment de la bêta publique et à un niveau de sponsoring inférieur. Le fait que l’implémentation ait été plus rapide chez d’autres ne suffit pas à l’exprimer de la sorte…&nbsp;


Ce n’est pas parce qu’un certificat est payant qu’il assure quoi que ce soit (excepté les EV), comme indiqué dans un précédent papier.&nbsp;








David_L a écrit :



Si :)&nbsp;





NXI a choisi Let’s Encrypt pour son certificat ? Les Français veulent savoir.



en effet mais si tu veux qu’un organisme de certification s’assure de ton identité et de ton niveau d’implication, etc, il faut passer à la caisse (assurances, frais de dossiers…)


Non :)

&nbsp;





Minikea a écrit :



en effet mais si tu veux qu’un organisme de certification s’assure de ton identité et de ton niveau d’implication, etc, il faut passer à la caisse (assurances, frais de dossiers…)





Logique non ? (Mais une fois de plus, un certificat ne propose pas forcément ça et rien ne le garantit)



Être sponsor Platinum permet de se faire une bonne image.

&nbsp;

Il me semble que retarder l’implémentation de Let’s Encrypt, permet de continuer à engranger des abonnements de 50€ à l’année. Ce qui peut être considérer comme «sa petite vache à lait».

&nbsp;

Il lui faudra supporter Let’s Encrypt, car le refuser ferait fuir les clients autant contribuer mais adopter le plus tard possible…

&nbsp;


Oui enfin on parle d’un truc en bêta publique depuis trois mois. Si pour vous prendre du temps à implémenter la solution = forcément retarder pour se faire du fric (sans apporter la moindre preuve), soit. M’enfin ça reste du troll plutôt qu’autre chose (ou alors proposez vos talents de roi de l’IT aux hébergeurs ;))


J’ ai cru comprendre que c’était bon pour Gandi depuis début janvier.

Troll contre angélisme ?


Oui enfin Gandi ça reste tout de même une intégration assez brute et franchement pas pensée pour le grand public. OVH peut très bien avoir décidé de faire quelque chose de plus abouti, on reste dans des délais raisonnable et rien ne permet de dire que c’est une “volonté de”.



On peut très bien critiquer les certificats SSL à 50 euros d’OVH (quoi que jusqu’à preuve du contraire les tarifs sont libres en France) sans forcément leur tirer dessus alors qu’ils sont l’un des plus gros sponsors de LE et qu’ils ont clairement indiqué dès le départ qu’ils voulaient intégrer une procédure pour leurs clients.&nbsp;



Après on peut trouver que cela ne va pas assez vite ou reprocher le timing donné au départ qui n’a pas été respecté. Mais si tout était si simple que de publier des commentaires, la vie serait plus facile pour tout le monde ;)


Pour en revenir à l’article, a-t-on une date de sortie de phase bêta pour Let’s Encrypt ?

Le lien «a ainsi précisé Josh Aas», parle de Roadmap mais n’en présente pas.



P.S : Si les tarifs sont libre en France, le jour ou Nextinpact décrétera qu’il faut payer 80€ pour être abonné, je ne le serai plus ;-)


Je rete chez CACert, en attendant que Let’s Encrypt puisse être plus facilement utilisable pour autre chose que du HTTP/HTTPS.


Oui, mais le prix est la rencontre d’une offre et d’une demande ;)&nbsp;



Pour le reste, il n’y a aucune info sur la sortie de bêta pour le moment de ce que j’ai vu, mais bon on reste encore assez proche du lancement et ils vont sans doute se concentrer là dessus (une fois les changements opérés en avril)&nbsp;


Prochaine étape j’espère : Renouvellement des certificats via HTTPS. Pour l’instant mes configs Apache gardent une entrée HTTP juste pour ça.


Moi j’ai pas réussi à avoir mon certificat… Le process n’a jamais aboutit…


Merci.

On peut supposer une version «aboutit» pour septembre alors.


Vous avez oublié Online.net dans votre article.

&nbsp;Ça fait 10 jours qu’ils ont activé les certificats Let’s Encrypt sur tous les hébergements mutualisé :

&nbsp;https://twitter.com/online_fr/status/705798518636728320








David_L a écrit :



Oui, mais le prix est la rencontre d’une offre et d’une demande ;)&nbsp;



&nbsp;



Non, ce que fait OVH est de la vente liée.

En d’autres temps, certains râlaient sur les magasins qui vendaient des ordinateurs sans laisser le choix de prendre autre chose que Windows.

Eh bien là c’est pareil, sur les serveurs mutualisés OVH, on a pas la possibilité de prendre un certificat ailleurs que celui d’OVH à 60 €/an TTC.

Donc seul moyen de s’en sortir, prendre un autre hébergeur.

Donc, vente liée.



Simple question : Je ne comprends pas ce qu’apporte le “support” OVH. C’est pour du mutualisé ? Parce que sur un serveur dédié ça marche très bien quel que soit l’hébergeur. Perso je suis passé à letsencrypt sur ma dedibox et ça m’a pris 2 minutes (parce que j’utilise apache, sinon c’est un poil plus long).

Désolé si ça a déjà été expliqué mais je vois pas <img data-src=" />



Vraiment top letsencrypt.








Keats` a écrit :



Simple question : Je ne comprends pas ce qu’apporte le “support” OVH. C’est pour du mutualisé ?





oui









David_L a écrit :



Si :)&nbsp;





pour les abonnés. Je ne suis plus abonné, j’ai tout de même mon compte sur lequel je m’authent en clair.



Une question (ou suggestion) pour NXI : serait-il possible de faire un article pour les abonnés, résumant à quoi servent les certificats, comment ils sont émis, mis en oeuvre, à qui ils s’adressent… et pourquoi Let’s Encrypt fait beaucoup parler de lui.

Je ne suis pas du tout expert dans ce domaine, mais j’aimerai bien une synthèse de tout ça, pour comprendre les enjeux.



C’est possible ?


Non ce n’est pas un oubli, ce n’était pas le sujet de l’article. Pour le reste, chaque chose en son temps ;) (PS : et si on veut proposer une info à la rédac, le formulaire est 100x plus utile qu’un commentaire du genre)


C’est déjà en bonne partie le cas, et le lien est dans l’article :)


Voir mes autres réponses et nos différentes annonces sur le sujet.








David_L a écrit :



Oui enfin on parle d’un truc en bêta publique depuis trois mois. Si pour vous prendre du temps à implémenter la solution = forcément retarder pour se faire du fric (sans apporter la moindre preuve), soit. M’enfin ça reste du troll plutôt qu’autre chose (ou alors proposez vos talents de roi de l’IT aux hébergeurs ;))





Ah bon, les certificats et l’HTTPS ça existe depuis trois mois ?

Les coûts de délivrance d’un certificat se sont effondrés du jour au lendemain ?

&nbsp;

Non.

&nbsp;

Ca fait des DECENNIES qu’OVH (et d’autres) a l’ensemble de la chaine fonctionnelle en prod pour proposer des certificats pour une bouchée de pain, comme le fait maintenant LetsEncrypt. OVH a même infiniment plus d’infos sur leurs clients que ne l’aura jamais LetsEncrypt.



Ca fait des DECENNIES qu’ils font surpayer un service sans le moindre rapport avec le coût réel.



Tu ne peux pas en même temps pleurer les lenteurs de le généralisation du HTTPS (au hasard chez les régies de pub qui ont empêché PCI de passer simplement à l’HTTPS ^^) et dans le même temps louer la fôôrmidable réactivité d’OVH pour faire le fanfaron. A un moment faut être cohérent.

&nbsp;



David_L a écrit :



Oui, mais le prix est la rencontre d’une offre et d’une demande ;)&nbsp;





Ce n’est qu’une simplification naïve, du niveau des “bons ptits dictons de madame Michu” ; c’est à peu près valable sur un marché concurrentiel, avec une barrière à l’entrée faible, permettant l’implantation facile de nouveaux concurrent. Ce n’est absolument pas le cas de figure ici, parce qu’on ne délivre pas des certificats signés par un root depuis le fond de son garage.



Je ne loue rien, je ne parle pas non plus des pratiques commerciales autour des certificats qui ont été détestables chez tout le monde. On a encore évoqué récemment des alternatives antérieures à LE, gratuites, et ce qu’apporte réellement un certificat.



Je dis juste qu’OVH est un acteur de poids qui s’est engagé assez rapidement dans LE, et a rapidement annoncé que ce serait proposé à tous les clients mutu. Certes ce n’est pas encore en place, comme je dis, mettre en place de tels dispositifs de manière fiable dans une infrastructure importante ne se fait pas en un claquement de doigt.



Mais cela montre bien que les choses changent, et on ne peut pas leur reprocher de s’être opposé activement à ce changement (ce que tu fais), puisque ce n’est pas le cas.



Pour le reste, la comparaison avec le manque d’adaptation à HTTPS des acteurs de la pub est un peu bancale, vu que les problématiques n’ont strictement rien à voir…








David_L a écrit :



Mais cela montre bien que les choses changent, et on ne peut pas leur reprocher de s’être opposé activement à ce changement (ce que tu fais), puisque ce n’est pas le cas.



Je ne leur reproche pas de s’être opposé activement à LE, je leur reproche d’avoir joué le status quo pendant 10 ans pour conserver leurs petits intérêts, et de venir jouer les bon élèves maintenant.



&nbsp;







David_L a écrit :



Pour le reste, la comparaison avec le manque d’adaptation à HTTPS des acteurs de la pub est un peu bancale, vu que les problématiques n’ont strictement rien à voir…





Elles ont à voir, car le manque d’adaptation des régies a pour origine l’absence de masse critique pour que ce soit économiquement envisageable. Si le HTTPS s’était généralisé plus tôt, il est évident que cette masse critique existerait depuis belle lurette et que le problème n’en serait plus un à l’heure actuelle.

&nbsp;