Let's Encrypt annonce la disponibilité des certificats génériques
Pour faciliter la gestion des sous-domaines avec un seul certificat

Le , par Stéphane le calme, Chroniqueur Actualités
Avec le nombre élevé d’attaques informatiques ciblant les sites web sur la toile, il n’est nul besoin de rappeler que l’un des moyens essentiels de prévention contre ces piratages demeure l’adoption des mesures de sécurité comme le chiffrement des sites web.

Let’s Encrypt, l’autorité de certification qui a lancé ses services publics en 2015, offre des outils dans ce sens avec la mise à disposition de moyens automatisés pour l’installation et le renouvellement de certificats gratuits pour le protocole de chiffrement TLS. Avec ces services, Let’s Encrypt souhaite offrir un web à 100 % sécurisé en permettant aux entités qui disposent de peu de ressources financières et techniques d’utiliser ses services pour sécuriser leurs sites web.

Pour faciliter le déploiement de ses outils et booster encore plus l’adoption de ses services de sécurité web, Let’s Encrypt a annoncé en juillet dernier qu’elle va offrir des « wildcard certificates » (certificats génériques) à partir de janvier 2018. Selon l’autorité, ces certificats génériques ont pour but de sécuriser n’importe quel nombre de sous-domaines d’un domaine de base. En d’autres termes, avec ces certificats génériques, les administrateurs pourront utiliser une seule paire de certificat et clé pour un domaine et tous ses sous-domaines, et ne plus enregistrer individuellement un certificat pour chaque adresse web comme c’est le cas présentement.


Selon Josh Aas, directeur exécutif de ISRG, cela facilitera considérablement le déploiement et par-delà, l’adoption du HTTPS sur le web. En effet, avoir une paire unique de clés de chiffrement et un certificat pour un domaine et ses sous-domaines est de loin nettement plus facile à gérer que d’avoir plusieurs certificats pour différents domaines et sous-domaines.

L’autorité avait expliqué que ces certificats génériques seront offerts gratuitement à travers la version 2 du protocole ACME (Automated Certificate Management Environment). Ce protocole est la pièce maîtresse du service offert par Let’s Encrypt. C’est l’élément avec lequel Let’s Encrypt interagit avec ses abonnés « afin qu’ils puissent obtenir et gérer les certificats ». Il permet à Let’s Encrypt de s’assurer que les méthodes de validation, de délivrance et de gestion sont entièrement automatisées, sécurisées et conformes à ses attentes. Avec la version 2, ACME pourra être facilement utilisé par les autres autorités de certification et deviendra une norme de IETF avec des améliorations techniques. Par ailleurs, l’autorité a expliqué que l’API de la version 2 de ce protocole va coexister aux côtés de la version 1 en attendant la fin du cycle de vie de cette première version du protocole.

C’est désormais chose faite. Même si l’autorité a pris un peu de retard conformément au planning annoncé, Josh Aas a annoncé hier la disponibilité de ces certificats génériques.

« Les certificats génériques vous permettent de sécuriser tous les sous-domaines d'un domaine avec un seul certificat. Les certificats génériques peuvent rendre la gestion des certificats plus facile dans certains cas, et nous voulons traiter ces cas afin d'aider le Web à 100 % HTTPS. Nous recommandons toujours des certificats non génériques pour la plupart des cas d'utilisation », a-t-il commenté.

Et de rappeler que « Les certificats génériques sont uniquement disponibles via ACMEv2. Afin d'utiliser ACMEv2 pour les certificats génériques ou non génériques, vous aurez besoin d'un client qui a été mis à jour pour prendre en charge ACMEv2. Nous avons l'intention de transférer tous les clients et abonnés vers ACMEv2, bien que nous n'ayons pas encore défini de date de fin de vie pour notre API ACMEv1. »

Source : annonce Let's Encrypt

Et vous ?

Qu'en pensez-vous ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse Signaler un problème

Avatar de earhater earhater - Membre confirmé https://www.developpez.com
le 14/03/2018 à 12:00
Très bonne nouvelle pour le web Après petite note sur la sécurité : il faut bien préciser que let's encrypt permet de sécuriser le protocole HTTP mais en aucun cas de valider l'identité de celui qui a créé le certificat, contrairement aux solutions payantes.
Avatar de _champy_ _champy_ - Membre du Club https://www.developpez.com
le 14/03/2018 à 13:14
Très bonne nouvelle pour le web Après petite note sur la sécurité : il faut bien préciser que let's encrypt permet de sécuriser le protocole HTTP mais en aucun cas de valider l'identité de celui qui a créé le certificat, contrairement aux solutions payantes.
Tous dépend de la confiance que tu accorde aux autorités de certification payante, le système bancaire s’appuie lui aussi sur la confiance entre les acteurs (contrairement au crypto monnaie par exemple), on voit le résultat

Plus sérieusement le chiffrement et l'identité du possesseur du certificat aurais dut être séparé depuis longtemps car cela à empêcher le HTTPS pour un bon nombre de site dont les auteurs n'avais pas les moyen de payer un certificat payant.
A cette époque c'était clairement du raquette. Tous ce que fait let's encrypt et les autres acteur en proposant des certifications gratuite est une énorme avancer pour ceux qui mettent à disposition du contenu sans trop de moyens.
Il auras fallut attendre que les navigateurs imposent HTTPS pour que ce raquette cesse. Par contre les autorités de certification risque de voir leur chiffre d'affaire baisser notablement, quelle seras le réplique ...
Avatar de PBernard18 PBernard18 - Membre habitué https://www.developpez.com
le 25/03/2018 à 12:27
Reste qu'en bon informaticien des années 90, la fonctionnalité est superbe mais la documentation utile est pratiquement inexistante et lorsqu'on veut implémenter un certificat générique, on ne sait pas réellement par où commencer.

Après 10 pages en anglais sur le site de lets'encrypt on est un peu perdu.

Espérant que Lets'encrypt comblera cette lacune rapidement.

On comprend qu'il faille :
- disposer d'un client ACMEv2 du type CERTBOT, ...
- utiliser le défi DNS-01 qui consiste à introduire des champs TXT pour garantir la propriété du domaine pour effectuer une demande de type NewOrder en précisant le nom de domaine générique (*.mondomaine.fr).

Quelqu'un à un tuto la dessus ?
Avatar de alexetgus alexetgus - Membre du Club https://www.developpez.com
le 27/03/2018 à 14:08
J'ai patienté un moment avant de pouvoir profiter du Wildcard LetsEncrypt, ils accusaient un "léger retard".
Mais comment leur en vouloir pour ce retard qui va changer la vie de pas mal d'internautes ?

D'abord les certificats "staging" pour se faire la main et, enfin, la sortie officielle de ACMEv2 le 13 mars !
Dès que le protocole ACMEv2 a été mis en circulation, j'adoptais un certificat Wildcard dans la foulée !
Pour info, j'avais créé une cron qui surveillait et testait la disponibilité du sous domaine acme-v02.api.letsencrypt.org pour être des premiers à sauter dessus comme des fadas un jour de solde.

@PBernard18
Tu devrais te tourner vers acme.sh qui propose une quarantaine d'API DNS pour pouvoir créer et renouveler un certificat automatiquement, ce qui est quand même le but du jeu.
Il suffit d'éditer l'API correspondante et d'y entrer les renseignements adéquats. (ces renseignement figurent aussi dans l'API en plus de Github)
Pour le tuto, c'est sur le feu, patience, ça ne va pas tarder. Si tu en as encore besoin dans quelques jours, je repasserai te donner le lien.

Ce wildcard qui coutait si cher jusqu'à présent est désormais gratuit ! Les vendeurs/profiteurs n'ont qu'à bien se tenir !

 
Contacter le responsable de la rubrique Accueil