Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !
Chiffrement : l’EFF publie la version 1.0 finale de son CertbotCrédits : matejmo/iStock

En 2015, l’Electronic Frontier Foundation lançait son projet Certbot, destiné à automatiser et donc faciliter le chiffrement sur les sites web.

La version 1.0 finale est disponible depuis peu et témoigne de l’évolution du projet en quelques années. Certbot était initialement destiné à récupérer et déployer des certificats Let’s Encrypt.

Il a depuis gagné une compatibilité (en bêta) avec Windows, la prise en charge de plus d’une douzaine de fournisseurs DNS pour la validation des domaines ou encore la configuration Nginx automatique.

L’EFF rappelle que le projet s’inscrit dans le cadre plus global de sa poussée pour un chiffrement généralisé, puisqu’il « protège les gens contre l’espionnage, l’injection de contenus et le vol de cookies, qui peut être utilisé pour prendre le contrôle de votre compte ».

La fondation rappelle que depuis l’arrivée de Let’s Encrypt et de Certbot, le trafic HTTPS est passé de 40 à 80 % en quelques années seulement. Elle se félicite du chemin parcouru, mais nous rappellerons de notre côté que ces derniers 20 % sont justement les plus difficiles à conquérir.

Elle remercie les plus de 30 000 personnes ayant participé d’une manière ou d’une autre à l’amélioration de Certbot. Durant la phase bêta, l’outil aurait « aidé plus de deux millions d’utilisateurs à maintenir un accès à HTTPS sur plus de 20 millions de sites ».

23 commentaires
Avatar de Plastivore Abonné
Avatar de PlastivorePlastivore- 06/12/19 à 09:26:40

C'est clair que l'outil Certbot est super pour automatiser l'obtention et le renouvèlement de certificats, mais je pense très franchement que son succès est plutôt dû au simple fait que c'est le seul moyen d'obtenir un certificat Let's Encrypt, qui a permis à beaucoup d'entre-nous de se passer de certificats auto-signés pour des petits projets à la limite du perso.

Avatar de sarbian Abonné
Avatar de sarbiansarbian- 06/12/19 à 09:59:45

Plastivore a écrit :

C'est clair que l'outil Certbot est super pour automatiser l'obtention et le renouvèlement de certificats, mais je pense très franchement que son succès est plutôt dû au simple fait que c'est le seul moyen d'obtenir un certificat Let's Encrypt, qui a permis à beaucoup d'entre-nous de se passer de certificats auto-signés pour des petits projets à la limite du perso.

 Seul moyen? Il y a plein de client qui implémentent le protocole ACME de Let's Encrypt ( https://github.com/search?q=ACME ) ainsi que pas mal de soft qui l’implémentent en interne (traefik, Nginx, ...)

Par contre certbot est probablement le client le mieux maintenu. 

Édité par sarbian le 06/12/2019 à 10:02
Avatar de KP2 Abonné
Avatar de KP2KP2- 06/12/19 à 10:35:31

Plastivore a écrit :

C'est clair que l'outil Certbot est super pour automatiser l'obtention et le renouvèlement de certificats, mais je pense très franchement que son succès est plutôt dû au simple fait que c'est le seul moyen d'obtenir un certificat Let's Encrypt, qui a permis à beaucoup d'entre-nous de se passer de certificats auto-signés pour des petits projets à la limite du perso.

Ce n'est plus le cas... Il y a beaucoup de clients différents (de tous styles et toutes technos) aujourd'hui et y'a même un autre fournisseur de certifs gratuits ACME (Buypass.com)

Donc l'écosystème commence à se développer, c'est pas mal.

Mais je reste quand même dubitatif car l'abaissement du cout des certifs a tout de même aussi pas mal aidé le phishing car on ne peut même plus conseiller de vérifier que le "cadenas vert" est là pour être en sécurité.
C'est très ennuyeux.
Et Let's Encrypt reste encore en heavy dev et n'est toujours pas prêt pour de la prod. Au niveau Pro, j'évite autant que possible pour l'instant...

Avatar de boogieplayer Abonné
Avatar de boogieplayerboogieplayer- 06/12/19 à 11:38:05

KP2 a écrit :

Mais je reste quand même dubitatif car l'abaissement du cout des certifs a tout de même aussi pas mal aidé le phishing car on ne peut même plus conseiller de vérifier que le "cadenas vert" est là pour être en sécurité.
C'est très ennuyeux.

entièrement d'accord. Les gens pensent que le HTTPS est un site "sûr et sécurisé" ce qui est faux on peut créer un site malveillant avec un HTTPS. Le "S" c'est juste le tunnel chiffré entre le navigateur et le site, certifié par une autorité tiers.

Du coup bon... pas simple en formation/cours sur le sujet.

Avatar de Arnaud3013 Abonné
Avatar de Arnaud3013Arnaud3013- 06/12/19 à 14:29:12

Top, merci!

Avatar de BurritoBob Abonné
Avatar de BurritoBobBurritoBob- 06/12/19 à 14:52:54

Je l'utilise en prod depuis 3 ans sur un petit nombre de serveurs. Pas de problème à déplorer, ça simplifie la vie !

Avatar de pierreonthenet Abonné
Avatar de pierreonthenetpierreonthenet- 07/12/19 à 00:17:25

"mais nous rappellerons de notre côté que ces derniers 20 % sont justement les plus difficiles à conquérir"
En même temps, si seulement tous les hebergeurs proposaient Lets Enscrypt, ça serait plus simple. Quand on voit que 1and1/Ionos par exemple ne propose que des certificats payants, on se doute que ça ne va pas être simple de passer à 100%.

Avatar de djegus Abonné
Avatar de djegusdjegus- 07/12/19 à 10:05:04

KP2 a écrit :

Ce n'est plus le cas... Il y a beaucoup de clients différents (de tous styles et toutes technos) aujourd'hui et y'a même un autre fournisseur de certifs gratuits ACME (Buypass.com)

Bonjour à tous, tu est sur pour buypass je vois que des certificats payants ?

Avatar de OB Abonné
Avatar de OBOB- 07/12/19 à 11:16:43

boogieplayer a écrit :

entièrement d'accord. Les gens pensent que le HTTPS est un site "sûr et sécurisé" ce qui est faux on peut créer un site malveillant avec un HTTPS. Le "S" c'est juste le tunnel chiffré entre le navigateur et le site, certifié par une autorité tiers.

Du coup bon... pas simple en formation/cours sur le sujet.

Je suis d'accord.

L'un des problèmes est que le SSL mélange le chiffrement et l'authentification (mais comment faire autrement ?) Pour moi ça reste un problème d'UI.

Ne pas oublier aussi que si le HTTPS s'est démocratisé, c'est aussi parce que les états et les FAI s'en donnaient à cœur joie en terme de censure, espionnage, détournements, ... Il fallait trouver un moyen de se prémunir contre le MiM, et le SSL restait la norme existante et implémentée.

Donc oui, d'un coté Let'sEncrypt a dévoyé le SSL . Après, avant LetsEncrypt le problème du magasin certificat des OS ou des navigateur complètement hors de contrôle et les autorité de certif voyou existaient aussi (Hong Kong Post Officehttps://www.ogcio.gov.hk/en/our_work/regulation/eto/ordinance/ca_in_hk/ en tant que CA ? Sérieux ?)
 

Avatar de KP2 Abonné
Avatar de KP2KP2- 08/12/19 à 00:37:15

djegus a écrit :

Bonjour à tous, tu est sur pour buypass je vois que des certificats payants ?

Je l'ai fait pas plus tard qu'il y a 2 semaines.

Avec le client certbot, tu utilises exactement la même procédure et les mêmes commandes, il suffit juste d'ajouter : " --server &#39https://api.buypass.com/acme/directory' " et ça passe.

Il n'est plus possible de commenter cette actualité.
Page 1 / 3