Let’s Encrypt sur le point de sécuriser tout l’internet
Le futur du web sera sécurisé ou ne sera pas. Les navigateurs favorisent déjà tous les sites qui disposent d’un certificat de sécurité et qui ont une URL en https://, Google prend aussi en compte ce paramètre pour ses résultats de recherche. Bref, tous les grands acteurs du web vont dans le sens d’une généralisation de cette couche de sécurité supplémentaire qui garantit l’authenticité d’un site et qui empêche tout transfert de données personnelles non désiré d’un site à l’autre.
Malheureusement, sécuriser un site internet est encore complexe et cher. Ces deux freins expliquent que bon nombre de sites sont encore restés sur l’ancien protocole http://, non sécurisé. Mais cela devrait très bientôt changer : Let’s Encrypt a annoncé cette semaine que tous les navigateurs acceptaient son certificat. Le service devrait donc bientôt se lancer et sécuriser gratuitement et facilement tous les sites.
Soutenu par plusieurs acteurs majeurs du web, de la fondation Mozilla à l’EFF, en passant par Akamai, Cisco et Automattic, Let’s Encrypt permettra en effet de sécuriser n’importe quel serveur web. Même si tous les webmasters ne pourront pas en bénéficier, en tout cas pas dans un premier temps (il faut un accès en ligne de commande au terminal pour la mise en place), le pari de Let’s Encrypt est que les hébergeurs n’auront plus aucune excuse.
Les certificats sécurisés indispensables étaient jusque-là systématiquement payants, et souvent assez chers (plusieurs dizaines d’euros par an). Avec ce nouveau service, c’est désormais gratuit et une seule ligne de commande configure automatiquement les serveurs, à condition qu’ils utilisent Apache ou Nginx. Pour les autres configurations, les instructions restent assez simples, beaucoup plus simples que l’installation manuelle qui était le plus souvent nécessaire.
Let’s Encrypt propose aussi tous les outils nécessaires pour renouveler un certificat tous les ans, ou au contraire pour en révoquer un sur un site. L’idée étant que tout puisse être automatisé pour simplifier au maximum les procédures et les proposer au plus grand monde. Son lancement est prévu d’ici la fin de l’année et maintenant que tous les navigateurs sont pris en charge, cela ne devrait plus trop tarder.
Un point important à noter malgré tout : Let’s Encrypt est totalement gratuit, mais le service ne suffit pas à assurer qu’un site n’a pas été piraté. Pour cela, il faut un certificat plus complexe qui implique de vérifier l’identité de son propriétaire. Cette protection gratuite est en revanche suffisante pour éviter les écoutes d’un tiers pendant la navigation d’un site à l’autre.
Cela permettra-t-il aussi de récupérer un certificat pour les NAS ?
J'ai actuellement un nom de domaine qui pointe vers le NAS installé à la maison. J'ai pas mal sué pour mettre en place un certificat gratuit pour éviter les messages de panique avec les navigateurs comme quoi le serveur à peut-être été piraté.
Je cherche donc une solution plus simple lors du renouvellement du certificat en 2016.
Les certificats de chez StartSSL sont gratuits également (un peu plus complexes à mettre en place) mais fonctionnement parfaitement pour un usage comme le tien.
@Bardyl :
C'est ce que j'ai utilisé. Je ne me souvenais plus du nom du service.
C'est bien simple, je crois qu'il n'y a que 2 sites qui proposent des certificats gratuits : celui-ci et un site chinois. Le choix a été vite fait.
je pense que l on augmente le risque.
cela ne sécurise en rien car l usurpation d identité ne sera pas exclu.
par contre, on peut estimer que toute les appels devraient être cryptée.
La preuve de la possession du domaine demandeur du certificat est effectuée par un agent exécuté sur le serveur http demandeur, donc tout va bien.
En ce qui concerne la vérification des identités par les autorités de certifications le degré de confiance accordable n'est pas très élevé : https://www.schneier.com/paper-pki-ft.txt
C'est quand meme mieux que rien.
Pour les pro qui font du commerce en ligne, il y a plus securisé mais c'est plus cher...
Sinon, il ne faut pas se fier au seul HTTPS, il faut que cela soit un element parmi une chaine et que cette chaine ne soit pas interrompue...
"Les certificats sécurisés indispensables étaient jusque-là systématiquement payants, et souvent assez chers (plusieurs dizaine d’euros par an)."
No comment !
Ça c'est rudement bien !
Le prix était peut-être un frein pour certains webmasters, mais il ne faut pas oublier les craintes liées au référencement. Rediriger tout un site de http vers https n'est pas aussi anodin qu'il n'y paraît. Heureusement que je n'ai rien de sensible sur mon site, la mise à jour ne presse pas…
Le prix est un frein pour beaucoup de monde : individuels, associations, entreprises familiales, etc.
J'ai travaillé récemment pour des organisations à but non lucratif, sponsorisées, et tous les coûts périodiques sont un problème. Ici il ne s'agit pas que du (ou des) certificat, mais de frais d'IT.
Apple est doucement en train de forcer l'usage d'https pour tous les accès des applications iOS, ce sont des coûts supplémentaires pas toujours faciles à expliquer aux clients.
Je ne vois pas l'intérêt de "sécuriser" l'ensemble des sites web, ou de passer par exemple macg.co en https ! L'envoi de données personnelles via des formulaires en AJAX peut très bien être fait de mani!ère sécurisée en https sans que le site le soit entièrement.
A quoi ça servirait, si ce n'est charger encore plus la barque ?
@marc_os :
Mauvaise idée de mixer http et https sur une même page.
Par défaut les cookies sont envoyés dans les deux cas, on peut donc récupérer en http, au hasard, la clé identifiant la session d'un utilisateur qui s'est identifié et usurper son identité, même si le gares s'est identifié par un formulaire https.
La recommandation est simple : https partout, tout le temps.
@sebasto72
+1
D'un autre cote, l'utilisation de cookie est une faille de securite! Et il n'y a aucune raison technique d'utiliser des cookies, si ce n'est d'installer un tracking du client!
@marc_os: les sites statiques ne sont quasiment plus d'actualités, le cryptage est donc important dès lors propose un contenu qui te soit personnel : pour plus de sécurité mais aussi (et surtout) pour plus de confidentialité : les réseaux publicitaires accrochés au site n'ont plus accès aux suivi, aux logs, aux données personnelles, aux spécificités, à tes passions, tes prises de paroles, tout ce qui les aide à dresser un profil de toi.
"Soutenu par plusieurs acteurs majeurs du web, de la fondation Mozilla à l’EFF, en passant par Akamai, Cisco et Automattic"
Liste incomplète il manque l'acteur majeur soutenant en sous main le projet : la NSA :-)
@Lopokova Lydia :
Effectivement . Un beau back door génèral pour eux.
StartSSL fournit des certificats gratuits, c'est pas si compliqué à mettre en place, mais il faut souvent fournir ses informations personnelles afin de s'inscrire. Bon. Hâte de voir ce que Let's Encrypt va donner, même si j'espère qu'on pourra se débarrasser de la configuration automatique côté nginx, je veux juste les certificats et rien d'autre.
En tout cas, c'est une bonne nouvelle pour Internet. On pourra aussi noter qu'HTTP/2 est de plus en plus implémenté, et nécessite de toute façon l'utilisation de TLS. Donc un Internet plus performant et plus sécurisé à la portée de tous.
Et pour macg/igen ça vient quand le https ?