Microsoft a ajouté la confiance directe pour les certificats Let's Encrypt, ce qui signifie que l’autorité de certification Let’s Encrypt est désormais directement approuvée par tous les principaux programmes de certificats racines, parmi lesquels figurent ceux de Microsoft, Google, Apple, Mozilla, Oracle et Blackberry. Avec cette annonce, Let's Encrypt est désormais directement approuvé par tous les principaux navigateurs et systèmes d’exploitation.Let's Encrypt fournit des certificats numériques gratuits que les sites Web peuvent utiliser pour permettre à HTTPS de chiffrer le trafic du site de bout en bout. Le vote de confiance de Microsoft est donc une bonne nouvelle pour les efforts de l’autorité de certification pour créer un Internet sur lequel 100% des pages sont chargées par HTTPS, même si cela n’est pas encore chose faite.
Josh Aas, directeur exécutif de l'ISRG, a déclaré que « L’annonce faite aujourd’hui par tous les principaux programmes racines représente une étape importante pour nous, mais ce n’est pas la conclusion de notre cheminement vers une confiance directe partout ».
Alors que Let's Encrypt a déjà été approuvé par presque tous les navigateurs, il faut souligner que cela a été fait grâce à un certificat intermédiaire signé par IdenTrust. Comme IdenTrust était directement approuvé par tous les principaux fournisseurs de systèmes de navigation et systèmes d'exploitation, il était également possible de faire confiance à Let’s Encrypt.
C’est ce qu’explique Aas lorsqu’il avance que « Les certificats de Let's Encrypt ont été largement approuvés depuis notre première émission en raison d'une signature croisée d'une autre autorité de certification appelée IdenTrust. Par défaut, les navigateurs et les systèmes d’exploitation n’ont pas de certificats de confiance, mais ils font confiance à IdenTrust et IdenTrust nous fait confiance. IdenTrust est un partenaire essentiel dans nos efforts pour sécuriser le Web, car ils nous ont permis de fournir des certificats de confiance dès le premier jour ».
Comme Let’s Encrypt est maintenant directement approuvé, s'il y a un problème avec IdenTrust et qu'ils deviennent eux-mêmes non fiables, les utilisateurs Let’s Encrypt n’auront aucune retombées. Et pour ceux qui pensent que cela ne pourrait jamais arriver, il suffit de se rappeler de ce qui s’est passé avec les certificats Symantec qui n’ont pas été approuvés par Google et Mozilla.
Cependant, bien que cette nouvelle profite aux nouveaux navigateurs et systèmes d’exploitation, les anciennes versions ne feront toujours pas confiance à Let's Encrypt directement. Pour cette raison, les certificats Let’s Encrypt vont continuer à être signés par IdenTrust afin qu'ils puissent continuer à travailler sur des produits plus anciens.
Aas assure « Qu’alors que Let's Encrypt est maintenant directement approuvé par presque toutes les nouvelles versions de systèmes d’exploitation, de navigateurs et de périphériques, il existe encore de nombreuses versions plus anciennes au monde qui ne font pas directement confiance à Let's Encrypt. Certains de ces anciens systèmes seront éventuellement mis à jour pour faire confiance à Let's Encrypt directement. Certains ne le feront pas et nous devrons attendre à ce que la grande majorité d'entre eux quittent l'écosystème Web. Nous nous attendons à ce que cela prenne au moins cinq ans. Nous prévoyons donc d’utiliser une signature croisée jusque là ».
Si vous êtes déjà un utilisateur de Let's Encrypt, vou n’avez rien à faire. Tout site utilisant des certificats Let's Encrypt va continuer à fonctionner normalement.
Let’s Encrypt revendique avoir fourni des certificats pour plus de 115 millions de sites Web.
Source : Let's Encrypt
Et vous ?
Utilisez-vous les certificats émis par Let's Encrypt ou par une autre autorité de certification ? Laquelle ? Quels avantages voyez-vous à l'utilisation des certificats de Let's Encrypt ?Voir aussi :
Let's Encrypt est désormais le plus grand émetteur de certificats SSL pour les sites web avec 51.21% d'utilisation, d'après le baromètre NetTrack Let's Encrypt annonce la disponibilité des certificats génériques, pour faciliter la gestion des sous-domaines avec un seul certificat L'autorité de certification Let's Encrypt annonce le support du protocole ACME, dans Apache HTTP Server Project Avec ses certificats SSL gratuits, Let's Encrypt pourrait-il représenter un danger pour la sécurité sur le Web ? Oui, selon des experts Let's Encrypt annonce la disponibilité des certificats génériques en janvier 2018, pour faciliter la gestion des sous-domaines avec un seul certificat