+ Répondre à la discussion Actualité déjà publiée
  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    3 517
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 3 517
    Points : 83 786
    Points
    83 786

    Par défaut Let's Encrypt est désormais le plus grand émetteur de certificats SSL pour les sites web avec 51,21 % de PDM

    Let's Encrypt est désormais le plus grand émetteur de certificats SSL pour les sites web avec 51,21 % d'utilisation,
    d'après le baromètre NetTrack

    Avec le nombre élevé d’attaques informatiques ciblant les sites web sur la toile, il n’est nul besoin de rappeler que l’un des moyens essentiels de prévention contre ces piratages demeure l’adoption des mesures de sécurité comme le chiffrement des sites web.

    Let’s Encrypt, l’autorité de certification qui a lancé ses services publics en 2015, offre des outils dans ce sens avec la mise à disposition de moyens automatisés pour l’installation et le renouvellement de certificats gratuits pour le protocole de chiffrement TLS. Avec ces services, Let’s Encrypt souhaite offrir un web à 100 % sécurisé en permettant aux entités qui disposent de peu de ressources financières et techniques d’utiliser ses services pour sécuriser leurs sites web.

    L’autorité de certification Let's Encrypt a distribué un grand volume de certificats gratuits par jour en 2016, dépassant parfois la barre des 100 000 certificats par jour. Fin juin 2017, l’autorité a indiqué avoir franchi les 100 millions de certificats depuis son lancement en décembre 2015. Rappelons qu’en février 2017, Let's encrypt était utilisé par 13,70 % du total des domaines français enregistrés.

    Pour faciliter le déploiement de ses outils et booster encore plus l’adoption de ses services de sécurité web, Let’s Encrypt a annoncé en juillet dernier qu’elle va offrir des « wildcard certificates » (certificats génériques) à partir de janvier 2018. Selon l’autorité, ces certificats génériques ont pour but de sécuriser n’importe quel nombre de sous-domaines d’un domaine de base. En d’autres termes, avec ces certificats génériques, les administrateurs pourront utiliser une seule paire de certificat et clé pour un domaine et tous ses sous-domaines, et ne plus enregistrer individuellement un certificat pour chaque adresse web comme c’est le cas présentement.

    L’autorité avait expliqué que ces certificats génériques seront offerts gratuitement à travers la version 2 du protocole ACME (Automated Certificate Management Environment). Ce protocole est la pièce maîtresse du service offert par Let’s Encrypt. C’est l’élément avec lequel Let’s Encrypt interagit avec ses abonnés « afin qu’ils puissent obtenir et gérer les certificats ». Il permet à Let’s Encrypt de s’assurer que les méthodes de validation, de délivrance et de gestion sont entièrement automatisées, sécurisées et conformes à ses attentes. Avec la version 2, ACME pourra être facilement utilisé par les autres autorités de certification et deviendra une norme de IETF avec des améliorations techniques. Par ailleurs, l’autorité a expliqué que l’API de la version 2 de ce protocole va coexister aux côtés de la version 1 en attendant la fin du cycle de vie de cette première version du protocole.

    Selon Josh Aas, directeur exécutif de ISRG, cela facilitera considérablement le déploiement et par-delà, l’adoption du HTTPS sur le web. En effet, avoir une paire unique de clés de chiffrement et un certificat pour un domaine et ses sous-domaines est de loin nettement plus facile à gérer que d’avoir plusieurs certificats pour différents domaines et sous-domaines.

    La suite lui a peut-être donné raison. En effet, selon le baromètre NetTrack, les certificats délivrés par Let’s Encrypt représentent 51,21 % de part de marché en avril 2018, bien loin de COMODO CA Limited qui occupe la seconde place avec ses 14,82 %. GoDaddy.com vient en troisième position avec 6,14 %.

    Nom : lets_encrypt.png
Affichages : 3072
Taille : 82,4 Ko

    Rappelons que, malgré les louanges des militants de la vie privée ainsi que ceux de la communauté de sécurité qui sont venus saluer les efforts et les réalisations de l’organisme à but non lucratif, certains critiques ont sonné la cloche d’alarme en prévenant que Let's Encrypt pourrait être coupable d'aller trop loin, trop vite et de donner trop de bonne chose sans avoir mis sur pied les bons contrôles et contrepoids.

    L'inquiétude principale est que, bien que la croissance de l’utilisation du protocole SSL/TLS soit une tendance positive pour l’écosystème du Web tout entier, elle offre également aux criminels un moyen simple de faciliter la falsification des sites Web, l'emprunt d'identité des serveurs, les attaques man-in-the-middle, mais aussi un moyen de faire passer des logiciels malveillants à travers les mailles du filet des pare-feux d'entreprises.

    « Les utilisateurs peu conscients pourraient penser qu'ils communiquent avec des sites fiables, car l'identité du site a été validée par une autorité de certification, sans se rendre compte que ce ne sont que des certificats de validation de domaine sans aucune garantie quant à l'identité de l'organisation propriétaire du site » , a déclaré Asif Karel, directeur de la gestion des produits chez Qualys.

    Bien entendu, les critiques ne rendent pas Let’s Encrypt responsable de ces abus, mais elles estiment que l’autorité pourrait faire un meilleur travail en vérifiant les candidats pour éliminer les mauvais acteurs.

    « Let’s Encrypt peut, dans l’absolu, être trompé », a reconnu Josh Aas. « Toutefois, il en va de même pour les autres autorités de certification. Les gens se comportent comme si Let's Encrypt est la première autorité de certification à être trompée. C'est absurde. »

    Source : NetTrack

    Et vous ?

    Utilisez-vous les certificats émis par Let's Encrypt ? Qu'en pensez-vous ?
    Que vous suggère cette adoption croissante des certificats émis par cette autorité ?

    Voir aussi :

    Avec ses certificats SSL gratuits, Let's Encrypt pourrait-il représenter un danger pour la sécurité sur le Web ? Oui, selon des experts
    Let's Encrypt annonce la disponibilité des certificats génériques, pour faciliter la gestion des sous-domaines avec un seul certificat
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre éclairé
    Homme Profil pro
    Développeur Web
    Inscrit en
    août 2012
    Messages
    320
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Cantal (Auvergne)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : août 2012
    Messages : 320
    Points : 772
    Points
    772

    Par défaut

    Les critiques sur Let's encrypt sont idiotes vu qu'elles s'appliquent à tout les fournisseurs de certificats, la seule différence c'est que Let's encrypt est gratuit, et ça gène ceux qui gagnaient bien leur vie grâce à ça.
    Je suis très content que cette solution existe, je l'utilise sur tous les services que je met en ligne aujourd'hui (bien que le renouvellement tous les trois mois soit un peu contraignant).


    J'aimerais avoir une solution aussi pertinente pour de l'EV (payante évidement, si ça nécessite l'intervention d'un humain, mais pas à un tarif qui correspond à une ou deux journées de prestataire français ...)

  3. #3
    Membre habitué
    Homme Profil pro
    Chef de projet MOA
    Inscrit en
    juin 2014
    Messages
    64
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Cher (Centre)

    Informations professionnelles :
    Activité : Chef de projet MOA

    Informations forums :
    Inscription : juin 2014
    Messages : 64
    Points : 137
    Points
    137

    Par défaut

    Effectivement, on peut alimenter le débat des certificats délivrés par LetsEncrypt mais là n'est pas l'intérêt. On note que cette société s'est organisée pour proposer gratuitement des certificats génériques là où d'autres en ont fait un fond de commerce fructueux. Et, fond de commerce oblige, les prix qui auraient pu rester abordables au commun des mortels se sont envolés. C'est donc un juste retour des choses et d'autres devraient y réfléchir...

    LetsEncrypt a proposé une solution alternative gratuite avec comme objectif la sécurisation des flux web et cet objectif est en passe d'être gagné. On ne peut que s'en féliciter.
    Seul point faible pour l'instant, la documentation qui reste essentiellement anglophone et pas toujours très claire.

    J'ai documenté la mise en oeuvre d'un certificat générique pour une plateforme CentOS-7 en utilisant le challenge DNS01 sous Bind9. La procédure est disponible sur le lien suivant : CENTOS 7 - Installation d'un certificat générique via LETS'ENCRYPT

    Comme le gratuit n'est pas réellement gratuit, j'encourage tous ceux qui utiliseront les certificats LetsEncrypt à effectuer un petit don, ne serait-ce que pour encourager de telles initiatives.

Discussions similaires

  1. Réponses: 19
    Dernier message: 09/04/2017, 14h38
  2. Linux est-il le plus grand projet logiciel au monde ?
    Par Victor Vincent dans le forum Linux
    Réponses: 21
    Dernier message: 20/05/2016, 00h34
  3. Réponses: 13
    Dernier message: 12/01/2010, 20h56
  4. Réponses: 10
    Dernier message: 22/12/2009, 19h58
  5. Réponses: 18
    Dernier message: 31/07/2007, 17h29

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo