Un peu plus de quatre mois après l'ouverture de sa bêta publique, le projet Let's Encrypt est enfin considéré comme stable. L'occasion pour son équipe de faire le point et d'annoncer quelques bonnes nouvelles.
C'est en décembre que le projet Let's Encrypt était accessible pour tous à travers une première phase de bêta publique. Pour rappel, son objectif est de fournir gratuitement et à n'importe quel internaute qui dispose d'un site web un certificat SSL/TLS de base, afin de mettre en place un chiffrement des échanges via le protocole HTTPS (voir notre analyse).
Il prend ainsi la forme d'une autorité de certification opérée par l'Internet Security Research Group (ISRG) et basée sur Boulder, qui exploite un nouveau protocole ACME, pouvant être utilisé à travers une multitude de clients open source.
La rapide croissance de Let's Encrypt
Depuis cette première étape, de nombreuses choses ont changé. Des hébergeurs ont en effet intégré Let's Encrypt à leurs offres de manière plus ou moins accessible comme Gandi, Infomaniak, Online.net, Wordpress.com et beaucoup d'autres. Dans « la cour des grands » côté français, seul OVH semble encore trainer, malgré ses annonces répétées (et mouvantes).
Mais Let's Encrypt n'est pas qu'une question d'hébergeurs, mais aussi de constructeurs qui fournissent des services. Ainsi, Synology a rapidement intégré la création de certificats gratuits à DSM 6.0 qui est désormais proposé en version finale (voir notre guide d'installation). Free a aussi mis en place une telle fonctionnalité pour l'accès à distance à l'interface de sa Freebox.
Le projet n'est plus en bêta
Résultat, début mars, un million de certificats avaient été distribués. Ils sont désormais plus de 1,7 million (pour 3,8 millions de sites), dont plus de 1,4 million sont actifs selon les statistiques du projet. Le .fr représente près de 10 % des domaines.
Le rythme est actuellement de 20 000 nouveaux certificats par jour précise Mozilla (qui est l'un des membres fondateurs de l'IRSG). Entre la fin janvier (environ 400 000) et aujourd'hui, ce chiffre a été multiplié par plus de quatre. Une croissance qui semble continue et qui ne devrait pas s'arrêter de sitôt si l'on en croit le graphique mis en ligne par l'ISRG à l'occasion de l'annonce du jour.
Car Let's Encrypt n'est désormais plus en bêta : « nous avons acquis une expérience opérationnelle et une confiance dans nos systèmes qui sont considérables » précise l'équipe, qui annonce l'arrivée de nouveaux sponsors de taille. Gemalto entre ainsi dans la danse avec le statut « Gold », HP Enterprise, Fastly, Duda et ReliableSite.net deviennent sponsors « Silver ». De leur côté, Akamai et Cisco renouvellent leur statut « Platinum » pour trois ans.
Un avenir qui reste à écrire
Reste maintenant à voir le projet évoluer (voir la roadmap) et le protocole ACME grandir et être reconnu, notamment par l'IETF. Le mois dernier, on apprenait que les choses allaient se clarifier du côté des clients et notamment de « l'officiel » fourni par l'Electronic Frontier Foundation (EFF). Nul doute que cette année 2016 sera encore riche en rebondissements pour ce qui est de la généralisation de HTTPS, notamment à travers Let's Encrypt.