Let's Encrypt : Bitly saute le pas, l'EFF annonce certbot, OVH commence le déploiement

Let’s Encrypt : Bitly saute le pas, l’EFF annonce certbot, OVH commence le déploiement

Sécurité partout, HTTP nulle part

Avatar de l'auteur
David Legrand

Publié dans

Internet

30/05/2016 4 minutes
6

Let's Encrypt : Bitly saute le pas, l'EFF annonce certbot, OVH commence le déploiement

Un mois après avoir dépassé le cap des 2 millions de certificats, Let's Encrypt enregistre de nouvelles victoires. OVH vient en effet de générer plus d'un million de nouveaux certificats pour ses clients, Bit.ly utilise à son tour le service, et l'EFF dévoile un nouveau site pour son client : certbot.

Let's Encrypt continue son petit bonhomme de chemin (voir notre analyse). Ainsi, on voit l'autorité de certification permettant à chacun de créer des certificats SSL/TLS gratuitement être de plus en plus utilisée. Nouvel acteur en date : Bit.ly.

En effet, eWeek nous apprend que le raccourcisseur d'URL propose désormais un accès sécurisé à tous les liens « branded ». Comprendre ceux dont le domaine est géré par Bit.ly. Cela comprend ceux de l'offre Enterprise payante, mais aussi le quota de 500 par mois accessibles aux comptes gratuits.

De quoi rajouter une couche de sécurité pour un tel outil qui reste contesté dans son utilisation, puisqu'il peut être utilisé afin de cacher une redirection vers des URL malveillantes ou contenir des informations sensibles. D'autres pestent après la multiplication des raccourcisseurs et des requêtes sur un même lien, qui a tendance à ralentir l'accès à une page. L'intégration de Let's Encrypt ne devrait d'ailleurs ne rien changer sur ce point.

OVH active plus d'un million de certificats

L'autre bonne nouvelle concerne OVH. Depuis le début de l'année, l'hébergeur multiplie les promesses concernant la mise en place de Let's Encrypt sur ses offres. Retardée de nombreuses fois, elle commence à se concrétiser. Dans un tweet en réponse à un client, le support a en effet indiqué que certains clusters sont déjà migrés :

Sur le site dédié aux travaux du groupe, on peut lire les détails suivants :

« Nous aurions pu proposer d'activer gratuitement le protocole HTTPS sur les sites web avec un bouton dans l'espace client. Mais ce n'était pas encore assez simple selon nous. Alors on a choisi d'activer le protocole HTTPS et de chiffrer les communications pour tous les sites de nos hébergements web. Tous. Sans exception. Y compris les sites existants.

Comme on a souhaité que vous vous posiez le moins de questions possible, l'ensemble de vos multisites sont accessibles en HTTPS. C'est-à-dire que le certificat de votre site comprend l'ensemble des sites que vous rendez accessibles depuis votre compte d'hébergement web. Toujours rien à faire.

Enfin, pour tous ceux qui ont déjà un SSL, nous ne vous oublions pas. Nous allons proposer d'autres types de certificats d'ici quelques jours et vous serez migrés vers ces nouveaux certificats. Nous vous tenons au courant prochainement. »

La tâche associée est indiquée comme complète à 60 %, mais OVH précise avoir généré un certificat pour 95 % de ses hébergements (soit 1,5 million de comptes). Une mise en place visible dans les statistiques de l'autorité de certification qui est passée de 2 millions de certificats délivrés à plus de 3,5 millions en trois semaines entre la fin avril et le début du mois de mai. Un bond qui n'est pas uniquement dû à OVH mais la société y a sans doute largement participé. Actuellement, on est à plus de 3,8 millions de certificats (dont seulement 2,8 millions n'ont pas expiré). 

Dans la pratique, vous devriez donc pouvoir commencer à disposer d'une version HTTPS de votre site simplement en rajoutant un « s » dans votre URL. Pour le contenu mixte, des conseils sont diffusés dans cette page afin d'éviter au maximum l'intégration d'éléments non sécurisés dans une page délivrée via HTTPS. On y retrouve aussi une méthode pour activer une redirection ou d'éviter l'utilisation de l'HTTPS si vous le jugez nécessaire.

L'EFF dévoile le nom de son client et un site dédié

De son côté, l'EFF a tenu sa promesse. En effet, on apprenait récemment que son client Let's Encrypt allait être bien affiché comme étant sa création et sous sa responsabilité, mais aussi qu'il allait changer de nom afin de lever toute ambiguïté. Une façon de ne pas laisser penser qu'il était plus officiel qu'un autre, malgré l'implication de l'EFF dans le projet, et permettre à l'écosystème de continuer à se développer.

Ainsi, il est désormais connu sous le nom de Certbot, et dispose d'un nouveau logo. Toujours en beta, sa version 1.0 est attendue pour un peu plus tard dans l'année. Il dispose désormais d'un site dédié avec une FAQ complète et un guide d'installation pour différents serveurs web.

6

Écrit par David Legrand

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

OVH active plus d'un million de certificats

L'EFF dévoile le nom de son client et un site dédié

Commentaires (6)


Pourquoi OVH ne communique pas plus à grande échelle ? Déjà un twet ça peut passer inaperçu, mais là une réponse à un autre twet, c’est le meilleur moyen que l’info ne soit pas vue. Ils ont peur de parler de ce sujet ?


C’est possible maintenant avec le client officiel de renouveler via HTTPS ou c’est encore via HTTP ?


<img data-src=" />

Pourquoi j’ai installé Monkey comme serveur web ?


Je me demande si le client Certbot va migrer la config de l’ancien client letsencrypt ou s’il va falloir recommencer à zéro. Ça n’est pas dans la FAQ.

&nbsp;


Installé le client ce week end pour renouveler le certif de mon serveur dédié chez OVH (certif que j’avais pris chez Gandhi, le NDD étant chez eux et ayant profité de la première année gratuite), c’est vraiment très simple à utiliser franchement. J’avais déjà expérimenté le bousin sur mon instance Owncloud en auto hébergement, ça se paramètre en un claquement de doigts et possibilité d’avoir des sous domaines sans raquer 5000€ par ans.



Edit :







Athropos a écrit :



C’est possible maintenant avec le client officiel de renouveler via HTTPS ou c’est encore via HTTP ?







Visiblement non, lorsque je l’ai fait ce week end il couinait que le port 80 était déjà utilisé et je n’ai pas trouvé d’option pour passer en sécurisé.

Je fais l’install en mode simple sans auto config pour Apache, gérant moi-même le reste j’avais uniquement besoin de la descente des certifs.









Jarodd a écrit :



Pourquoi OVH ne communique pas plus à grande échelle ? Déjà un twet ça peut passer inaperçu, mais là une réponse à un autre twet, c’est le meilleur moyen que l’info ne soit pas vue. Ils ont peur de parler de ce sujet ?





AMHA ils attendent d’avoir fini la migration pour vraiment en parler. Sinon ils vont devoir se taper la gestion des mails des milliers de clients qui lisent à moitié les newsletter et vont se plaindre que ça ne marche pas chez eux alors qu’ils n’ont pas encore été migré.