En novembre de l’année dernière, l’initiative Lets's Encrypt était née autour d’un concept simple et direct : permettre à tous ceux qui en avaient besoin d’obtenir des certificats SSL gratuits. Maintenant que ces derniers sont reconnus par presque tous les navigateurs, Let's Encrypt est prêt pour la bêta publique le mois prochain.
Les premières révélations d’Edward Snowden en juin 2013 ont sonné le début d’une vaste réflexion sur la sécurité informatique. Dans les mois qui ont suivi, le chiffrement a émergé comme une solution « universelle » au problème de la vie privée sacrifiée sur l’autel de la sécurité des États, un concept manifestement opposé à la dimension privée de la sphère individuelle pour bon nombre d’autorités.
En novembre 2014, une initiative a donc souhaité proposer ce que personne n’avait fait jusque-là : distribuer gratuitement des certificats de sécurité à tous ceux qui en feraient la demande. Ces certificats n’ont rien de nouveau. Ils agissent comme des cartes d’identité pour les sites web qui peuvent ainsi prouver leur identité auprès du navigateur.
Le système repose sur un équilibre délicat entre les autorités de certifications et les éditeurs de navigateurs, ces derniers devant impérativement reconnaitre le certificat pour annoncer à l’utilisateur qu’il dispose d’une connexion chiffrée.
Les certificats sont reconnus par presque tous les navigateurs
Let's Encrypt est donc un service proposé par une alliance baptisée Internet Security Research Group (ISRG). Elle regroupe des acteurs importants tels que Mozilla, l’Electronic Frontier Foundation (EFF), l’Internet Society, Akamai, Cisco ou encore Automattic. Dernièrement, un accord a surtout été signé avec l’autorité de certification IdenTrust, avec un résultat concret important : tous les certificats générés par son entremise sont reconnus par tous les principaux navigateurs.
Cela signifie dorénavant que tous les certificats émis par le service ne provoqueront pas d’erreur dans Chrome, Firefox, Internet Explorer, Edge, Safari ou encore Opera. Le site de démonstration permet d’ailleurs de prouver cette reconnaissance, les navigateurs affichent bien le précieux cadenas. La question est donc maintenant de savoir quand les intéressés pourront commencer à obtenir ces sésames. Le service est actuellement en bêta privée, mais le test public commencera dès le 16 novembre.
Participations et dons bienvenus
L’alliance cherche également de bonnes volontés pour participer aux travaux, et ils sont encore nombreux. Les développeurs peuvent ainsi participer à la création d’un client qui servira notamment à configurer facilement les serveurs web. Les dons sont évidemment appréciés, et ceux qui n’ont ni les moyens ni les compétences en développement peuvent rejoindre les forums de la communauté pour tout ce qui touche au support technique.
Notez bien qu’une arrivée en masse du HTTPS signifiera clairement une augmentation de la sécurité. Cependant, la migration générale obéit à d’autres contraintes, comme nous l’exposions récemment. Les régies publicitaires ne suivent pas nécessairement vite cette évolution, obligeant les sites qui en dépendant à procéder par petites étapes. Dans tous les cas, l’ouverture prochaine de Let's Encrypt à tous pourrait marquer un tournant important.
