L’initiative Let’s Encrypt, qui cherche à proposer des certificats SSL à tous ceux qui en auraient besoin, vient de lancer enfin sa bêta publique. Une étape importante puisque tous les détenteurs de sites peuvent désormais demander un certificat gratuit. Pour autant, tout n’est pas encore terminé.
Les certificats SSL sont un maillon essentiel, quoiqu’imparfait, de la chaine de sécurité sur le web. Un certificat agit essentiellement sur deux points il est utilisé comme une carte d’identité qui permet aux navigateurs de le reconnaître pour ce qu’il prétend être : un site authentique, le certificat indiquant notamment le nom de l’entreprise. Il est également obligatoire pour mettre en place des communications chiffrées pour protéger les données de l’utilisateur.
Des certificats SSL gratuits
Le problème principal des certificats, outre les soucis que peut rencontrer une autorité de certification faisant mal son travail, est qu’ils sont parfois payants. En fonction des besoins, la facture peut même être salée pour un petit détenteur de site ou une jeune entreprise. Et il lui faudra ensuite procéder à son installation.
D’où l’initiative Let's Encrypt, qui se propose de fournir gratuitement des certificats mis en service automatiquement. Elle est proposée par une alliance baptisée Internet Security Research Group (ISRG), qui regroupe notamment Mozilla, l’Electronic Frontier Foundation (EFF), l’Internet Society, Akami, Cisco et Automatic.
Le mois dernier, l’initiative avait franchi une étape importante : un accord avait été signé avec l’autorité de certification IdenTrust, permettant aux certificats ainsi générés d’être reconnus par pratiquement tous les navigateurs existants. Qu’on parle de Chrome, Firefox, Internet Explorer, Opera, Safari ou Edge, le petit cadenas vert apparaît donc bien à gauche de la barre d’adresses. Mais le service ne permettait alors qu’un accès très restreint puisqu’il lançait à peine une phase privée de test.
La bêta publique ouvre les vannes
Ce n’est désormais plus le cas avec le lancement de la bêta publique. Techniquement, n’importe quel possesseur de site web peut demander un certificat et obtenir donc le précieux sésame. Le client fourni permet de simplifier les démarches d'installation en automatisant une bonne partie du processus. Selon l’Electronic Frontier Foundation, qui a donné la première impulsion à ce projet, Let's Encrypt devrait permettre d’en finir avec la complexité d’une étape qu’il viendrait de ne plus ignorer aujourd’hui : le chiffrement des échanges. Du moins quand il est possible.
Qui dit bêta publique dit également projet non terminé : soit toutes les fonctionnalités sont là avec un nombre potentiellement élevé de problèmes, soit leur nombre est réduit et évoluera dans les mois qui suivent. Pour Let's Encrypt, c’est le second cas puisque de nombreuses fonctionnalités manquent encore à l’appel, notamment le renouvellement totalement automatisé des certificats, le support des configurations automatiques et d’un plus grand nombre de serveurs (Nginx, postfix, exim et dovecot ne sont pas encore de la partie), ou encore de nouveaux outils pour aider l’utilisateur à se dépêtrer des éventuels soucis de configuration rencontrés sur des fonctionnalités comme HSTS (HTTP Strict Transport Security).
Il reste donc encore beaucoup de travail, et le bulletin de l’EFF indique d’ailleurs que toutes les bonnes volontés sont les bienvenues, en particulier les développeurs maitrisant le langage de script Python. En attendant, le client d’installation peut être utilisé en suivant la procédure décrite dans la documentation de Let's Encrypt. Plusieurs méthodes sont disponibles, y compris une avec Docker, mais l’ensemble est prévu pour fonctionner sur un serveur Linux avant tout. Un certain nombre de plugins est également disponible, notamment pour Apache, et d’autres seront ajoutés par la suite pour les serveurs IMAP, SMTP ou encore IRC.
La gratuité et la simplicité font mieux ressortir les problèmes restants
Notez bien que l’initiative, si elle devait remporter un franc succès, permettrait effectivement de jouer un rôle crucial dans la sécurité globale du web. De très nombreux sites ne proposent pas de chiffrement des échanges, même sur des parties essentielles comme la connexion du compte client et l’envoi de données sensibles. Mais un chiffrement intégral pour un site signifie aussi souvent se débarrasser complètement des publicités, ou s’arranger pour que les espaces publicitaires disposent eux du HTTPS, ce qui est complexe à obtenir.
Il s’agit d’une problématique que nous avions exposée il y a deux mois. La publicité est souvent considérée comme une gêne, mais un grand nombre de sites n’ont pas réellement le choix. De fait, l’initiative Let's Encrypt est d’autant plus intéressante qu’en supprimant les deux problèmes principaux – la complexité de mise en œuvre et le coût – elle fait ressortir les derniers ilots de résistance, tout en posant la question du pourquoi.