L'EFF et Mozilla lancent une nouvelle autorité de certification pour chiffrer le Web
« Let's Encrypt » délivrera gratuitement des certificats TLS/SSL

Le , par Hinault Romaric, Responsable .NET
Le protocole HTTPS (HyperText Transfer Protocol Secure) offre une meilleure sécurité des informations transmises sur le Web grâce au chiffrement des données. Si les sites de gestion de transactions financières, les réseaux sociaux ou encore les messageries électroniques utilisent largement le protocole, son adoption sur le Web tarde à se généraliser.

De nombreux sites Web utilisent encore HTTP, qui laisse les internautes vulnérables à beaucoup d'attaques, notamment le détournement de leur compte, le vol de leur identité, les injections de scripts malveillants ou encore l’espionnage des gouvernements.

Les éditeurs de sites Web font face à de nombreuses difficultés dans l’adoption de HTTPS. Les principales difficultés seraient, selon l’EFF (Electronic Frontier Foundation), liées à la complexité administrative de la souscription au protocole et au coût que requièrent des certificats HTTPS.

« Le protocole HTTPS dépend d’une administration horriblement complexe et souvent structurellement dysfonctionnelle pour l’authentification », s’insurge l’organisme de protection de la vie privée des internautes. « La procédure administrative pour obtenir, gérer et installer des certificats est la principale raison qui pousse les sites Web à rester sur HTTP au lieu de migrer vers HTTPS. »

Pour pallier à ces obstacles, l’EFF en collaboration avec la fondation Mozilla, Cisco, Akamai, IdenTrust et des chercheurs de l’université du Michigan, lance le projet « Let’s Encrypt ».


Le but de cette initiative est d’accélérer l’adoption du protocole HTTPS. « Let’s Encrypt » est une nouvelle autorité de certification qui fournira gratuitement des certificats SSL/TLS aux sites Web. L’organisme sera opérationnel à partir du deuxième trimestre de l’année prochaine et sera géré par l’Internet Security Research Group (ISRG), une nouvelle organisation à but non lucratif.

En plus de fournir gratuitement des certificats, « Let’s Encrypt » automatisera également le processus de délivrance des certificats, de configuration et de renouvèlement, afin d’encourager une adoption généralisée de TLS.

Ainsi, l’opération de configuration d’un certificat sur un site Web, qui pouvait prendre jusqu’à trois heures de temps, se fera désormais en quelques secondes. Un nouveau protocole baptisé ACME (Automated Certificate Management Environment) et développé par ces entreprises sera utilisé entre les serveurs Web et l’autorité de certification pour valider le nom de domaine avant de générer et d'installer automatiquement un certificat.

Tous les outils qui ont été développés autour de ce projet seront publiés dans une licence open source.

Source : EFF

Et vous ?

Qu'en pensez-vous ? Belle initiative pour un Web sécurisé ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de deusyss deusyss - Rédacteur/Modérateur http://www.developpez.com
le 19/11/2014 à 16:42
Très bonne initiative.
Avatar de Xurudragon Xurudragon - Membre à l'essai http://www.developpez.com
le 19/11/2014 à 16:49
Effectivement c'est une très belle perspective pour la "sécurité" du web.

Espérons que les fournisseur de services Web pour tout à chacun sensibilise leurs clients à cette procédure.
Voir peut-être même une installation automatique de la part du fournisseur.

En tout cas belle initiative de l'EFF et Mozilla.
Avatar de Saverok Saverok - Expert éminent http://www.developpez.com
le 19/11/2014 à 17:01
J'ai hâte de voir ça en application
Avatar de earhater earhater - Membre averti http://www.developpez.com
le 19/11/2014 à 17:26
Pensez à regarder cette vidéo de démonstration de l'EFF, elle montre les capacités de l'outil :

Avatar de marsupial marsupial - Membre éclairé http://www.developpez.com
le 19/11/2014 à 17:55
Des news comme celle-ci, j'en veux bien tous les soirs ...

Entre Firefox en nightly avec le réseau Tor, les téléphones dont les applications s'exécutent dans des environnements cloisonnés et maintenant des certificats simplifiés et automatisés pour les sites web, la double authentification, ... le A3 ( Advanced Adaptive Applications ) en open source développé pour le DARPA, ...

une suggestion pour naviguer l'esprit tranquille ?

J'allais oublier l'association entre Samsung et Blackberry pour sécuriser les Galaxy.
Avatar de Roadkiller Roadkiller - Membre régulier http://www.developpez.com
le 19/11/2014 à 18:18
Très bonne initiative ! Ils ont parfaitement compris la problématique actuelle autour des certificats.
En effet, les navigateurs internet "râlent bien plus à la figure" des utilisateurs lorsque le site visité utilise HTTPS avec un certificat auto-signé que lorsque le site est fourni en HTTP... Or, vu la complexité administrative mais aussi et surtout le coût des dits certificats, de nombreux sites (mis en ligne par des particuliers) se rabattent malheureusement sur HTTP.

Je suis par exemple dans ce cas là, je paie déjà le serveur et le nom de domaine pour faire tourner mon site à faible trafic. Un certificat seul me couterait plusieurs fois le montant investi pour le serveur et le nom de domaine. Je salue donc l'initiative !
Avatar de Zefling Zefling - Membre émérite http://www.developpez.com
le 19/11/2014 à 18:48
C'est vrai que c'est horrible à mettre en place... là ça a l'air ULTRA simple. Je veux !!
Avatar de sazearte sazearte - Membre expert http://www.developpez.com
le 19/11/2014 à 19:43
C'est vrai que c'est horrible à mettre en place... là ça a l'air ULTRA simple. Je veux !!

Surtout que c'est cher aussi !, 50€/ans !!!!

Pour des sites persos (dans mon cas) on veut faire un site web, pas cher et sans pub.

J'heberge mon site chez moi sur un raspberry, le nom de domaine c'est déjà 8€/ans, + 8€ le courant/ans +50€ le raspberry.

Mais c'est clair que j’achèterais jamais de certificat >10€
Quand a son propre certificat, les navigateurs gueulent comme si ce site était un site illégale, et c'est compliquer/chiant a installer.

Donc http pour moi, j'espere que ce projet aboutira, car il est une réel opportunité pour moi.

C'est d’ailleurs l'objectif d'internet, la décentralisation plutôt que de tout hébergée chez OVH (je parle des petits sites)

Avec la fibre optique, les micro ordinateurs peu gourmand et pas cher, il manque plus que le https gratuit, et on pourra enfin devenir indépendant.
Avatar de PatteDePoule PatteDePoule - Membre éclairé http://www.developpez.com
le 19/11/2014 à 20:06
Citation Envoyé par sazearte  Voir le message
Surtout que c'est cher aussi !, 50€/ans !!!!

Mon hébergeur a un partenariat avec AlphaSSL et c'est seulement 30$ le certificat. Les prix diffères d'un vendeur à l'autre, mais je crois que la moyenne est bien 80$ (50€?) par années et 180$ pour un Wildcard (*.mondomaine.com).
Avatar de sazearte sazearte - Membre expert http://www.developpez.com
le 19/11/2014 à 20:11
Oui c'est bien en €, mais visible , c'est pas le plus cher visiblement (ton 80$)
Offres d'emploi IT
Futurs ingénieurs informatique H/F
Adaming - Pays de la Loire - Nantes (44000)
Ingénieur en dév. logiciel h/f
Synchrotron SOLEIL - Ile de France - Saint-Aubin Essonne
Product owner back office
AMETIX - Ile de France - Asnières sur seine (92600)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil