Let's Encrypt est désormais le plus grand émetteur de certificats SSL pour les sites web avec 51.21% d'utilisation,
D'après le baromètre NetTrack

Le , par Stéphane le calme, Chroniqueur Actualités
Avec le nombre élevé d’attaques informatiques ciblant les sites web sur la toile, il n’est nul besoin de rappeler que l’un des moyens essentiels de prévention contre ces piratages demeure l’adoption des mesures de sécurité comme le chiffrement des sites web.

Let’s Encrypt, l’autorité de certification qui a lancé ses services publics en 2015, offre des outils dans ce sens avec la mise à disposition de moyens automatisés pour l’installation et le renouvellement de certificats gratuits pour le protocole de chiffrement TLS. Avec ces services, Let’s Encrypt souhaite offrir un web à 100 % sécurisé en permettant aux entités qui disposent de peu de ressources financières et techniques d’utiliser ses services pour sécuriser leurs sites web.

L’autorité de certification Let's Encrypt a distribué un grand volume de certificats gratuits par jour en 2016, dépassant parfois la barre des 100 000 certificats par jour. Fin juin 2017, l’autorité a indiqué avoir franchi les 100 millions de certificats depuis son lancement en décembre 2015. Rappelons qu’en février 2017, Let's encrypt était utilisé par 13,70 % du total des domaines français enregistrés.

Pour faciliter le déploiement de ses outils et booster encore plus l’adoption de ses services de sécurité web, Let’s Encrypt a annoncé en juillet dernier qu’elle va offrir des « wildcard certificates » (certificats génériques) à partir de janvier 2018. Selon l’autorité, ces certificats génériques ont pour but de sécuriser n’importe quel nombre de sous-domaines d’un domaine de base. En d’autres termes, avec ces certificats génériques, les administrateurs pourront utiliser une seule paire de certificat et clé pour un domaine et tous ses sous-domaines, et ne plus enregistrer individuellement un certificat pour chaque adresse web comme c’est le cas présentement.

L’autorité avait expliqué que ces certificats génériques seront offerts gratuitement à travers la version 2 du protocole ACME (Automated Certificate Management Environment). Ce protocole est la pièce maîtresse du service offert par Let’s Encrypt. C’est l’élément avec lequel Let’s Encrypt interagit avec ses abonnés « afin qu’ils puissent obtenir et gérer les certificats ». Il permet à Let’s Encrypt de s’assurer que les méthodes de validation, de délivrance et de gestion sont entièrement automatisées, sécurisées et conformes à ses attentes. Avec la version 2, ACME pourra être facilement utilisé par les autres autorités de certification et deviendra une norme de IETF avec des améliorations techniques. Par ailleurs, l’autorité a expliqué que l’API de la version 2 de ce protocole va coexister aux côtés de la version 1 en attendant la fin du cycle de vie de cette première version du protocole.

Selon Josh Aas, directeur exécutif de ISRG, cela facilitera considérablement le déploiement et par-delà, l’adoption du HTTPS sur le web. En effet, avoir une paire unique de clés de chiffrement et un certificat pour un domaine et ses sous-domaines est de loin nettement plus facile à gérer que d’avoir plusieurs certificats pour différents domaines et sous-domaines.

La suite lui a peut-être donné raison. En effet, selon le baromètre NetTrack, les certificats délivrés par Let’s Encrypt représentent 51,21 % de part de marché en avril 2018, bien loin de COMODO CA Limited qui occupe la seconde place avec ses 14,82 %. GoDaddy.com vient en troisième position avec 6,14 %.


Rappelons que, malgré les louanges des militants de la vie privée ainsi que ceux de la communauté de sécurité qui sont venus saluer les efforts et les réalisations de l’organisme à but non lucratif, certains critiques ont sonné la cloche d’alarme en prévenant que Let's Encrypt pourrait être coupable d'aller trop loin, trop vite et de donner trop de bonne chose sans avoir mis sur pied les bons contrôles et contrepoids.

L'inquiétude principale est que, bien que la croissance de l’utilisation du protocole SSL/TLS soit une tendance positive pour l’écosystème du Web tout entier, elle offre également aux criminels un moyen simple de faciliter la falsification des sites Web, l'emprunt d'identité des serveurs, les attaques man-in-the-middle, mais aussi un moyen de faire passer des logiciels malveillants à travers les mailles du filet des pare-feux d'entreprises.

« Les utilisateurs peu conscients pourraient penser qu'ils communiquent avec des sites fiables, car l'identité du site a été validée par une autorité de certification, sans se rendre compte que ce ne sont que des certificats de validation de domaine sans aucune garantie quant à l'identité de l'organisation propriétaire du site » , a déclaré Asif Karel, directeur de la gestion des produits chez Qualys.

Bien entendu, les critiques ne rendent pas Let’s Encrypt responsable de ces abus, mais elles estiment que l’autorité pourrait faire un meilleur travail en vérifiant les candidats pour éliminer les mauvais acteurs.

« Let’s Encrypt peut, dans l’absolu, être trompé », a reconnu Josh Aas. « Toutefois, il en va de même pour les autres autorités de certification. Les gens se comportent comme si Let's Encrypt est la première autorité de certification à être trompée. C'est absurde. »

Source : NetTrack

Et vous ?

Utilisez-vous les certificats émis par Let's Encrypt ? Qu'en pensez-vous ?
Que vous suggère cette adoption croissante des certificats émis par cette autorité ?

Voir aussi :

Avec ses certificats SSL gratuits, Let's Encrypt pourrait-il représenter un danger pour la sécurité sur le Web ? Oui, selon des experts
Let's Encrypt annonce la disponibilité des certificats génériques, pour faciliter la gestion des sous-domaines avec un seul certificat


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse Signaler un problème

Avatar de v1cent v1cent - Membre éclairé https://www.developpez.com
le 20/04/2018 à 10:49
Les critiques sur Let's encrypt sont idiotes vu qu'elles s'appliquent à tout les fournisseurs de certificats, la seule différence c'est que Let's encrypt est gratuit, et ça gène ceux qui gagnaient bien leur vie grâce à ça.
Je suis très content que cette solution existe, je l'utilise sur tous les services que je met en ligne aujourd'hui (bien que le renouvellement tous les trois mois soit un peu contraignant).

J'aimerais avoir une solution aussi pertinente pour de l'EV (payante évidement, si ça nécessite l'intervention d'un humain, mais pas à un tarif qui correspond à une ou deux journées de prestataire français ...)
Avatar de PBernard18 PBernard18 - Membre habitué https://www.developpez.com
le 27/04/2018 à 8:51
Effectivement, on peut alimenter le débat des certificats délivrés par LetsEncrypt mais là n'est pas l'intérêt. On note que cette société s'est organisée pour proposer gratuitement des certificats génériques là où d'autres en ont fait un fond de commerce fructueux. Et, fond de commerce oblige, les prix qui auraient pu rester abordables au commun des mortels se sont envolés. C'est donc un juste retour des choses et d'autres devraient y réfléchir...

LetsEncrypt a proposé une solution alternative gratuite avec comme objectif la sécurisation des flux web et cet objectif est en passe d'être gagné. On ne peut que s'en féliciter.
Seul point faible pour l'instant, la documentation qui reste essentiellement anglophone et pas toujours très claire.

J'ai documenté la mise en oeuvre d'un certificat générique pour une plateforme CentOS-7 en utilisant le challenge DNS01 sous Bind9. La procédure est disponible sur le lien suivant : CENTOS 7 - Installation d'un certificat générique via LETS'ENCRYPT

Comme le gratuit n'est pas réellement gratuit, j'encourage tous ceux qui utiliseront les certificats LetsEncrypt à effectuer un petit don, ne serait-ce que pour encourager de telles initiatives.

 
Contacter le responsable de la rubrique Accueil