Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Let's Encrypt en bêta publique : des certificats SSL gratuits pour tous

Toutes les fonctionnalités ne sont pas encore là
Internet 4 min
Let's Encrypt en bêta publique : des certificats SSL gratuits pour tous
Crédits : Rizvan3d/iStock/Thinkstock

L’initiative Let’s Encrypt, qui cherche à proposer des certificats SSL à tous ceux qui en auraient besoin, vient de lancer enfin sa bêta publique. Une étape importante puisque tous les détenteurs de sites peuvent désormais demander un certificat gratuit. Pour autant, tout n’est pas encore terminé.

Les certificats SSL sont un maillon essentiel, quoiqu’imparfait, de la chaine de sécurité sur le web. Un certificat agit essentiellement sur deux points il est utilisé comme une carte d’identité qui permet aux navigateurs de le reconnaître pour ce qu’il prétend être : un site authentique, le certificat indiquant notamment le nom de l’entreprise. Il est également obligatoire pour mettre en place des communications chiffrées pour protéger les données de l’utilisateur.

Des certificats SSL gratuits

Le problème principal des certificats, outre les soucis que peut rencontrer une autorité de certification faisant mal son travail, est qu’ils sont parfois payants. En fonction des besoins, la facture peut même être salée pour un petit détenteur de site ou une jeune entreprise. Et il lui faudra ensuite procéder à son installation.

D’où l’initiative Let's Encrypt, qui se propose de fournir gratuitement des certificats mis en service automatiquement. Elle est proposée par une alliance baptisée Internet Security Research Group (ISRG), qui regroupe notamment Mozilla, l’Electronic Frontier Foundation (EFF), l’Internet Society, Akami, Cisco et Automatic.

Le mois dernier, l’initiative avait franchi une étape importante : un accord avait été signé avec l’autorité de certification IdenTrust, permettant aux certificats ainsi générés d’être reconnus par pratiquement tous les navigateurs existants. Qu’on parle de Chrome, Firefox, Internet Explorer, Opera, Safari ou Edge, le petit cadenas vert apparaît donc bien à gauche de la barre d’adresses. Mais le service ne permettait alors qu’un accès très restreint puisqu’il lançait à peine une phase privée de test.

La bêta publique ouvre les vannes

Ce n’est désormais plus le cas avec le lancement de la bêta publique. Techniquement, n’importe quel possesseur de site web peut demander un certificat et obtenir donc le précieux sésame. Le client fourni permet de simplifier les démarches d'installation en automatisant une bonne partie du processus. Selon l’Electronic Frontier Foundation, qui a donné la première impulsion à ce projet, Let's Encrypt devrait permettre d’en finir avec la complexité d’une étape qu’il viendrait de ne plus ignorer aujourd’hui : le chiffrement des échanges. Du moins quand il est possible.

Qui dit bêta publique dit également projet non terminé : soit toutes les fonctionnalités sont là avec un nombre potentiellement élevé de problèmes, soit leur nombre est réduit et évoluera dans les mois qui suivent. Pour Let's Encrypt, c’est le second cas puisque de nombreuses fonctionnalités manquent encore à l’appel, notamment le renouvellement totalement automatisé des certificats, le support des configurations automatiques et d’un plus grand nombre de serveurs (Nginx, postfix, exim et dovecot ne sont pas encore de la partie), ou encore de nouveaux outils pour aider l’utilisateur à se dépêtrer des éventuels soucis de configuration rencontrés sur des fonctionnalités comme HSTS (HTTP Strict Transport Security).

Il reste donc encore beaucoup de travail, et le bulletin de l’EFF indique d’ailleurs que toutes les bonnes volontés sont les bienvenues, en particulier les développeurs maitrisant le langage de script Python. En attendant, le client d’installation peut être utilisé en suivant la procédure décrite dans la documentation de Let's Encrypt. Plusieurs méthodes sont disponibles, y compris une avec Docker, mais l’ensemble est prévu pour fonctionner sur un serveur Linux avant tout. Un certain nombre de plugins est également disponible, notamment pour Apache, et d’autres seront ajoutés par la suite pour les serveurs IMAP, SMTP ou encore IRC.

La gratuité et la simplicité font mieux ressortir les problèmes restants

Notez bien que l’initiative, si elle devait remporter un franc succès, permettrait effectivement de jouer un rôle crucial dans la sécurité globale du web. De très nombreux sites ne proposent pas de chiffrement des échanges, même sur des parties essentielles comme la connexion du compte client et l’envoi de données sensibles. Mais un chiffrement intégral pour un site signifie aussi souvent se débarrasser complètement des publicités, ou s’arranger pour que les espaces publicitaires disposent eux du HTTPS, ce qui est complexe à obtenir.

Il s’agit d’une problématique que nous avions exposée il y a deux mois. La publicité est souvent considérée comme une gêne, mais un grand nombre de sites n’ont pas réellement le choix. De fait, l’initiative Let's Encrypt est d’autant plus intéressante qu’en supprimant les deux problèmes principaux – la complexité de mise en œuvre et le coût – elle fait ressortir les derniers ilots de résistance, tout en posant la question du pourquoi.

92 commentaires
Avatar de SteelSkin INpactien
Avatar de SteelSkinSteelSkin- 04/12/15 à 10:44:51

Signaler ce commentaire aux modérateurs :

Une grande nouvelle pour le petit peuple!

Avatar de Minikea INpactien
Avatar de MinikeaMinikea- 04/12/15 à 10:46:44

Signaler ce commentaire aux modérateurs :

j'ai beta-testé hier soir et ça marche super bien!

Avatar de AmonituX Abonné
Avatar de AmonituXAmonituX- 04/12/15 à 10:47:25

Signaler ce commentaire aux modérateurs :

Intérêt par rapport à startssl ?

Avatar de Tiwy57 Abonné
Avatar de Tiwy57Tiwy57- 04/12/15 à 10:49:51

Signaler ce commentaire aux modérateurs :

Multi domaine (pas encore de wildcard), renouvelable à souhait, pas obligé de payer pour révoquer le certificat.
Pas obligé de fournir ses données personnelles (noms & prénoms civils) à une société tierce.

Avatar de marba Abonné
Avatar de marbamarba- 04/12/15 à 10:51:05

Signaler ce commentaire aux modérateurs :

AmonituX a écrit :

Intérêt par rapport à startssl ?

Déjà dis dans une news précédente. Mozilla est une fondation, et le projet n'a pas le but d'être rentable mais d'apporter les certificats et le chiffrement à tous le monde. Startssl est une entreprise qui fait payé différentes options suivant le forfait.

De plus Letsencrypt propose des scripts pour déployer très rapidement un certificat sur son serveur, sans avoir à se taper les détails relou.

Avatar de Ricard INpactien
Avatar de RicardRicard- 04/12/15 à 10:56:59

Signaler ce commentaire aux modérateurs :

Je vais passer une bonne journée.

Avatar de John Shaft Abonné
Avatar de John ShaftJohn Shaft- 04/12/15 à 10:58:04

Signaler ce commentaire aux modérateurs :

Certificat X509 !

Faut que je teste à l'occasion, mais je suis doute sur quelques points :

  • Quid des techniques de sécurité se basant sur un condensat du certificat ? Typiquement DANE et HPKP. Bon, HPKP, on peut utiliser le condensat du certificat de l'AC, mais DANE je suis pas sûr (est-ce souhaitable ?). DANE nécessitant de publier le condensat dans le DNS (et de le signer avec DNSSEC) faut être sûr de pas se louper

  • pour ceux comme moi qui aime changer de clef privée à chaque renouvellement, ça se passe comment en auto ?

    Bon par contre, il me semble que les certifs issus de clés ECDSA seront acceptés début 2016

Édité par John Shaft le 04/12/2015 à 10:59
Avatar de Minikea INpactien
Avatar de MinikeaMinikea- 04/12/15 à 10:58:52

Signaler ce commentaire aux modérateurs :

c'est automatique et simple.
en gros StartSSL il faut t'enregistrer chez eux, ils t'envoient un certificat pour t'authentifier sur leur site, ensuite tu authentifie un mail, ensuite tu peux commencer la procédure pour avoir un certificat non wildcard et pour 1 sous domaine uniquement.

là tu lance une commande depuis ton serveur et tu as ton certificat immédiatement (sans besoin de s'enregistrer au préalable) pour un sous domaine pour 90 jours sans restrictions de nombre de certificat (tu fais un certificat par sous domaine mais tu n'a aucune limite de nombre de certificat)

Avatar de Minikea INpactien
Avatar de MinikeaMinikea- 04/12/15 à 10:59:55

Signaler ce commentaire aux modérateurs :

pour info, nginx est "supporté" expérimentalement. j'ai pas testé personnellement, je préfère passer par le standalone et redémarrer nginx une fois le certif mis au bon endroit (automatiquement)

Édité par Minikea le 04/12/2015 à 11:01
Avatar de igo INpactien
Avatar de igoigo- 04/12/15 à 10:59:57

Signaler ce commentaire aux modérateurs :

Je vais attendre un peu d'avoir des retours mais ça a l'air très prometteur.

Il n'est plus possible de commenter cette actualité.
Page 1 / 10