Let’s Encrypt a distribué un milliard de certificats HTTPS gratuits

Nicolas Furno |

Let’s Encrypt s’est donné comme mission de sécuriser la totalité du web en fournissant des certificats gratuits pour passer les sites en https. Plus de cinq ans après sa création, l’organisation sécurise 190 millions de sites web et elle vient d’annoncer avoir distribué un milliard de certificats. Le cap a été franchi le 27 février 2020.

Illustration Let’s Encrypt.

C’est un cap symbolique qui est aussi la preuve de la réussite de cette initiative lancée par plusieurs acteurs du web, dont Mozilla, l’EFF, Akamai ou encore Cisco. Depuis sa création, Let’s Encrypt est devenu la référence pour sécuriser les sites gratuitement et automatiquement et le service est utilisé par de multiples hébergeurs, sans même que les créateurs de site n’aient à se soucier du problème. Let’s Encrypt n’est donc pas pour rien dans les chiffres actuels, avec 81 % des pages web sécurisées aujourd’hui et même 91 % aux États-Unis.

Les certificats créés par Let’s Encrypt sont volontairement courts, ils expirent au bout de 90 jours. C’est ce qui explique que le milliard a été atteint si vite, il faut les renouveler constamment, ce qui se fait automatiquement. Si votre hébergeur propose du https gratuitement, c’est certainement parce qu’il le fait pour vous. Si vous gérez votre propre serveur, Caddy est une alternative moderne à Apache ou nginx qui intègre automatiquement Let’s Encrypt et vous permet de ne rien avoir à configurer.

Au passage, ces certificats courts vont dans le sens de ce qu’Apple cherche pour Safari (lire : Safari n’acceptera bientôt plus les certificats HTTPS de plus d’un an). C’est même une tendance générale de l’industrie, puisque Google avait proposé de faire la même chose avant qu’Apple prenne sa décision. Si vous utilisez Let’s Encrypt, vous n’avez pas d’inquiétude à avoir sur ce plan.

avatar dscreve | 

Le renouvellement des certificats tous les ans, c’est comme le contrôle technique automobile : ça engraisse les grattes-papiers.....

avatar dodomu | 

@dscreve

Dans le cas de mets encrypt, c'est gratuit...

avatar sangoku | 

@dodomu

Rien n’est gratuit. On le paye en achetant les services et équipements des généreux sponsors de cette entité dont une petite partie du prix sert à la financer.

avatar dscreve | 

Let's Encrypt, c'est bien gentil pour faire du chiffrement de bout en bout...pour un site pro avec validation d'identité, on oublie et on repasse à la caisse avec tout le processus administratif bien lourding....

avatar jackhal | 

Laisse tomber les certificats EV, ce ne sont pas des certificats "pour pros" mais pour gogos. Ils faisaient quand même un peu l'illusion tant que les éditeurs de navigateurs participaient à cette quasi-arnaque, mais c'est (presque) fini : il n'y a plus aucune différence graphique dans Chrome et Firefox, il faut chercher dans les détails du certificat pour que ce soit mentionné. Reste Safari qui utilise encore un cadenas vert sur macOS et affiche l'adresse en vert sur iOS, mais pour combien de temps encore ? (Safari était le premier navigateur à mettre les infos EV en sourdine).

https://www.bleepingcomputer.com/news/software/chrome-and-firefox-change...

Exemple de sites sans certificat EV : Google.com, YouTube, Dell, Microsoft, Amazon, Alibaba, Wikipedia (qui n'est pas une société, mais qui fait partie de ceux qui ont laissé tomber leur certificat EV, tout comme eBay, OVH... et probablement d'autres de la liste), Wordpress.com, Facebook...

P.S. : la page de GlobalSign sur les certificats EV : "Celui-ci active des indicateurs visuels hautement reconnaissables directement dans la barre d'adresse", avec anciennes captures d'écran, pour se rappeler de cette époque révolue.
https://www.globalsign.fr/fr/centre-information-ssl/definition-certifica...

avatar Eyquem | 

C’est justement ce renouvellement de tous les 3 mois que je trouve vraiment pénible. Pourquoi pas 1 an plutôt ? Ce serait tellement plus pratique...

avatar Nicolas Furno | 

@Eyquem

Ce n’est pas pénible si c’est fait automatiquement. On ne s’en rend pas compte après que c’est trois mois.

Ça fait des années que j’utilise Let’s encrypt et ça tourne sans problème. Encore plus depuis que j’utilise Caddy, je ne me soucie plus de rien !

avatar Eyquem | 

@nicolasf

Par exemple sur mon nas, je dois à chaque fois penser d’ouvrir le port 80. Sans parler qu’il faut installer certbot pour que ce soit automatique sur d’autres serveurs. Sinon, faut confronter les bugs, comme celui que j’ai eu hier avec gitlab, où la nouvelle gestion de l’api a fait sauter le renouvellement automatique et la seule façon de corriger ça est de modifier des lignes de code.

Au final, let’s encrypt est vraiment super, mais cette limitation dans le temps est vraiment très pénible pour moi... Un an aurait été parfait !

avatar Link1993 | 

@Eyquem

Je suis assez d'accords avec toi.
J'utilise l'implémentation Site de l'application Server sur High Sierra, et un script maison qui remplace les certificats automatiquement. Quand y'a eu le changement d'API, c'est devenu un peu compliqué aussi...

CONNEXION UTILISATEUR