Let's Encrypt annonce la disponibilité des certificats génériques

Pour faciliter la gestion des sous-domaines avec un seul certificat

Let’s Encrypt annonce la disponibilité des certificats génériques pour janvier 2018
afin de faciliter la sécurisation d'un domaine et ses sous-domaines avec un seul certificat

Avec le nombre élevé d’attaques informatiques ciblant les sites web sur la toile, il n’est nul besoin de rappeler que l’un des moyens essentiels de prévention contre ces piratages demeure l’adoption des mesures de sécurité comme le chiffrement des sites web.

Let’s Encrypt, l’autorité de certification qui a lancé ses services publics en 2015, offre des outils dans ce sens avec la mise à disposition de moyens automatisés pour l’installation et le renouvellement de certificats gratuits pour le protocole de chiffrement TLS. Avec ces services, Let’s Encrypt souhaite offrir un web à 100 % sécurisé en permettant aux entités qui disposent de peu de ressources financières et techniques d’utiliser ses services pour sécuriser leurs sites web.

Selon les statistiques fournies par Let’s Encrypt, avant le lancement public de ses services en 2015, le pourcentage des pages chargées sur la toile était estimé à 40 %. Depuis cette date, le taux de sites web sécurisés HTTPS est passé à 58 %. Il faut rappeler néanmoins que d’autres entreprises comme Amazon offrent également des certificats gratuits à ses clients utilisant AWS. À la fin du mois dernier, Let’s Encrypt fêtait ses 100 millions de certificats délivrés. Et actuellement, elle déclare qu’elle sécurise 47 millions de domaines sur le web.

Pour faciliter le déploiement de ses outils et booster encore plus l’adoption de ses services de sécurité web, Let’s Encrypt annonce qu’elle offrira des « wildcard certificates » (certificats génériques) à partir de janvier 2018. Selon l’autorité, ces certificats génériques ont pour but de sécuriser n’importe quel nombre de sous-domaines d’un domaine de base. En d’autres termes, avec ces certificats génériques, les administrateurs pourront utiliser une seule paire de certificat et clé pour un domaine et tous ses sous-domaines, et ne plus enregistrer individuellement un certificat pour chaque adresse web comme c’est le cas présentement. Selon Josh Aas, directeur exécutif de ISRG, cela facilitera considérablement le déploiement et par-delà, l’adoption du HTTPS sur le web. En effet, avoir une paire unique de clé de chiffrement et un certificat pour un domaine et ses sous-domaines est de loin nettement plus facile à gérer que d’avoir plusieurs certificats pour différents domaines et sous-domaines.


Comme les autres certificats, ces certificats génériques seront offerts gratuitement à travers la version 2 du protocole ACME (Automated Certificate Management Environment). Ce protocole est la pièce maîtresse du service offert par Let’s Encrypt. C’est l’élément avec lequel Let’s Encrypt interagit avec ses abonnés « afin qu’ils puissent obtenir et gérer les certificats ». Il permet à Let’s Encrypt de s’assurer que les méthodes de validation, de délivrance et de gestion sont entièrement automatisées, sécurisées et conformes à ses attentes. Avec la version 2, ACME pourra être facilement utilisé par les autres autorités de certification et deviendra une norme de IETF avec des améliorations techniques. Par ailleurs, l’API de la version 2 de ce protocole existera aux côtés de la version 1 en attendant la fin du cycle de vie de cette première version du protocole.

Pour utiliser donc ces certificats génériques, les utilisateurs de ces solutions devront mettre à niveau la version 1 du protocole ACME et passer à la version 2 de l’API permettant de déployer les clés de certificats sur les serveurs.

Après cette annonce, plusieurs personnes ont admis que l’absence de ces certificats génériques était la dernière raison pour laquelle plusieurs ne se tournaient pas vers Let’s Encrypt. Avec la disponibilité de ce service, ces personnes n’auront plus d’excuses pour justifier l’absence de chiffrement ou soutenir des arguments pour ne pas utiliser les services de Let’s Encrypt, affirment ces derniers. Toutefois, pour d’autres, l’expiration de 90 jours après la délivrance serait un frein à l’adoption de Let’s Encrypt et préfèrent acheter des certificats de longue durée (plusieurs années). Mais, à cet argument, certains avancent que vu que les certificats Let’s Encrypt sont renouvelables automatiquement, cela ne devrait pas poser de problème. Et pour ceux qui achètent des certificats de longue durée, s’il survenait des failles favorisant des fuites de certificats, cela exposerait ces derniers aux attaques de type homme du milieu, affirment les défenseurs de Let’s Encrypt. D’autres ajoutent comme inconvénient à l’utilisation des services Let’s Encrypt qu’il faut attendre encore un peu plus de 5 mois avant la sortie de ces certificats génériques. Mais à la sortie des certificats génériques, ces assertions n’auront plus de sens, concluent certains utilisateurs de Let’s Encrypt.

Enfin, au-delà des défenseurs et des détracteurs de Let’s Encrypt, d’autres se posent la question de savoir si les fournisseurs de certificats SSL vont disparaître.

Source : Let’s Encrypt

Et vous ?

Les petites entreprises et les individus se tourneront-ils davantage vers Let’s Encrypt avec cette solution ?

Selon vous, qu’est-ce qui pourrait freiner encore l’adoption des services Let’s Encrypt avec l’arrivée prochaine de ces certificats génériques ?

Voir aussi

Les certificats SSL/TSL de Let’s Encrypt sont supportés par la majorité des navigateurs, l’autorité avance dans son projet de sécuriser le web

L’EFF et Mozilla lancent une nouvelle autorité de certification pour chiffrer le Web « Let’s Encrypt » délivrera gratuitement des certificats TLS/SSL