Discussion :

[Stéphane le calme]

Let's Encrypt est désormais le plus grand émetteur de certificats SSL pour les sites web avec 51,21 % d'utilisation,
d'après le baromètre NetTrack

Avec le nombre élevé d’attaques informatiques ciblant les sites web sur la toile, il n’est nul besoin de rappeler que l’un des moyens essentiels de prévention contre ces piratages demeure l’adoption des mesures de sécurité comme le chiffrement des sites web.

Let’s Encrypt, l’autorité de certification qui a lancé ses services publics en 2015, offre des outils dans ce sens avec la mise à disposition de moyens automatisés pour l’installation et le renouvellement de certificats gratuits pour le protocole de chiffrement TLS. Avec ces services, Let’s Encrypt souhaite offrir un web à 100 % sécurisé en permettant aux entités qui disposent de peu de ressources financières et techniques d’utiliser ses services pour sécuriser leurs sites web.

L’autorité de certification Let's Encrypt a distribué un grand volume de certificats gratuits par jour en 2016, dépassant parfois la barre des 100 000 certificats par jour. Fin juin 2017, l’autorité a indiqué avoir franchi les 100 millions de certificats depuis son lancement en décembre 2015. Rappelons qu’en février 2017, Let's encrypt était utilisé par 13,70 % du total des domaines français enregistrés.

Pour faciliter le déploiement de ses outils et booster encore plus l’adoption de ses services de sécurité web, Let’s Encrypt a annoncé en juillet dernier qu’elle va offrir des « wildcard certificates » (certificats génériques) à partir de janvier 2018. Selon l’autorité, ces certificats génériques ont pour but de sécuriser n’importe quel nombre de sous-domaines d’un domaine de base. En d’autres termes, avec ces certificats génériques, les administrateurs pourront utiliser une seule paire de certificat et clé pour un domaine et tous ses sous-domaines, et ne plus enregistrer individuellement un certificat pour chaque adresse web comme c’est le cas présentement.

L’autorité avait expliqué que ces certificats génériques seront offerts gratuitement à travers la version 2 du protocole ACME (Automated Certificate Management Environment). Ce protocole est la pièce maîtresse du service offert par Let’s Encrypt. C’est l’élément avec lequel Let’s Encrypt interagit avec ses abonnés « afin qu’ils puissent obtenir et gérer les certificats ». Il permet à Let’s Encrypt de s’assurer que les méthodes de validation, de délivrance et de gestion sont entièrement automatisées, sécurisées et conformes à ses attentes. Avec la version 2, ACME pourra être facilement utilisé par les autres autorités de certification et deviendra une norme de IETF avec des améliorations techniques. Par ailleurs, l’autorité a expliqué que l’API de la version 2 de ce protocole va coexister aux côtés de la version 1 en attendant la fin du cycle de vie de cette première version du protocole.

Selon Josh Aas, directeur exécutif de ISRG, cela facilitera considérablement le déploiement et par-delà, l’adoption du HTTPS sur le web. En effet, avoir une paire unique de clés de chiffrement et un certificat pour un domaine et ses sous-domaines est de loin nettement plus facile à gérer que d’avoir plusieurs certificats pour différents domaines et sous-domaines.

La suite lui a peut-être donné raison. En effet, selon le baromètre NetTrack, les certificats délivrés par Let’s Encrypt représentent 51,21 % de part de marché en avril 2018, bien loin de COMODO CA Limited qui occupe la seconde place avec ses 14,82 %. GoDaddy.com vient en troisième position avec 6,14 %.

Rappelons que, malgré les louanges des militants de la vie privée ainsi que ceux de la communauté de sécurité qui sont venus saluer les efforts et les réalisations de l’organisme à but non lucratif, certains critiques ont sonné la cloche d’alarme en prévenant que Let's Encrypt pourrait être coupable d'aller trop loin, trop vite et de donner trop de bonne chose sans avoir mis sur pied les bons contrôles et contrepoids.

L'inquiétude principale est que, bien que la croissance de l’utilisation du protocole SSL/TLS soit une tendance positive pour l’écosystème du Web tout entier, elle offre également aux criminels un moyen simple de faciliter la falsification des sites Web, l'emprunt d'identité des serveurs, les attaques man-in-the-middle, mais aussi un moyen de faire passer des logiciels malveillants à travers les mailles du filet des pare-feux d'entreprises.

« Les utilisateurs peu conscients pourraient penser qu'ils communiquent avec des sites fiables, car l'identité du site a été validée par une autorité de certification, sans se rendre compte que ce ne sont que des certificats de validation de domaine sans aucune garantie quant à l'identité de l'organisation propriétaire du site » , a déclaré Asif Karel, directeur de la gestion des produits chez Qualys.

Bien entendu, les critiques ne rendent pas Let’s Encrypt responsable de ces abus, mais elles estiment que l’autorité pourrait faire un meilleur travail en vérifiant les candidats pour éliminer les mauvais acteurs.

« Let’s Encrypt peut, dans l’absolu, être trompé », a reconnu Josh Aas. « Toutefois, il en va de même pour les autres autorités de certification. Les gens se comportent comme si Let's Encrypt est la première autorité de certification à être trompée. C'est absurde. »

Source : NetTrack

Et vous ?

Utilisez-vous les certificats émis par Let's Encrypt ? Qu'en pensez-vous ?
Que vous suggère cette adoption croissante des certificats émis par cette autorité ?

Voir aussi :

Avec ses certificats SSL gratuits, Let's Encrypt pourrait-il représenter un danger pour la sécurité sur le Web ? Oui, selon des experts
Let's Encrypt annonce la disponibilité des certificats génériques, pour faciliter la gestion des sous-domaines avec un seul certificat

[v1cent]

Les critiques sur Let's encrypt sont idiotes vu qu'elles s'appliquent à tout les fournisseurs de certificats, la seule différence c'est que Let's encrypt est gratuit, et ça gène ceux qui gagnaient bien leur vie grâce à ça.
Je suis très content que cette solution existe, je l'utilise sur tous les services que je met en ligne aujourd'hui (bien que le renouvellement tous les trois mois soit un peu contraignant).


J'aimerais avoir une solution aussi pertinente pour de l'EV (payante évidement, si ça nécessite l'intervention d'un humain, mais pas à un tarif qui correspond à une ou deux journées de prestataire français ...)

[PBernard18]

Effectivement, on peut alimenter le débat des certificats délivrés par LetsEncrypt mais là n'est pas l'intérêt. On note que cette société s'est organisée pour proposer gratuitement des certificats génériques là où d'autres en ont fait un fond de commerce fructueux. Et, fond de commerce oblige, les prix qui auraient pu rester abordables au commun des mortels se sont envolés. C'est donc un juste retour des choses et d'autres devraient y réfléchir...

LetsEncrypt a proposé une solution alternative gratuite avec comme objectif la sécurisation des flux web et cet objectif est en passe d'être gagné. On ne peut que s'en féliciter.
Seul point faible pour l'instant, la documentation qui reste essentiellement anglophone et pas toujours très claire.

J'ai documenté la mise en oeuvre d'un certificat générique pour une plateforme CentOS-7 en utilisant le challenge DNS01 sous Bind9. La procédure est disponible sur le lien suivant : CENTOS 7 - Installation d'un certificat générique via LETS'ENCRYPT

Comme le gratuit n'est pas réellement gratuit, j'encourage tous ceux qui utiliseront les certificats LetsEncrypt à effectuer un petit don, ne serait-ce que pour encourager de telles initiatives.

[Stéphane le calme]

L'autorité de certification Let's Encrypt annonce avoir déjà délivré un milliard de certificats SSL/TLS,
depuis son lancement en 2015

Avec le nombre élevé d’attaques informatiques ciblant les sites web sur la toile, il n’est pas nécessaire de rappeler que l’un des moyens essentiels de prévention contre ces piratages demeure l’adoption des mesures de sécurité comme le chiffrement des sites web.

Let’s Encrypt, l’autorité de certification qui a lancé ses services publics en 2015, offre des outils dans ce sens avec la mise à disposition de moyens automatisés pour l’installation et le renouvellement de certificats gratuits pour le protocole de chiffrement TLS. Avec ces services, Let’s Encrypt souhaite offrir un web à 100 % sécurisé en permettant aux entités qui disposent de peu de ressources financières et techniques d’utiliser ses services pour sécuriser leurs sites web.

Pour faciliter le déploiement et l’adoption du HTTPS sur le Web, l’autorité a utilisé différentes stratégies. Par exemple, elle a offre gratuitement à travers la version 2 du protocole ACME (Automated Certificate Management Environment) des « wildcard certificates » (certificats génériques) depuis mars 2018. Ils ont pour but de sécuriser n’importe quel nombre de sous-domaines d’un domaine de base. En d’autres termes, avec ces certificats génériques, les administrateurs peuvent utiliser une seule paire de certificat et clé pour un domaine et tous ses sous-domaines, et ne plus enregistrer individuellement un certificat pour chaque adresse web comme c’était le cas jusqu’à ce moment-là.

Des stratégies payantes

L’autorité de certification Let's Encrypt a distribué un grand volume de certificats gratuits par jour en 2016, dépassant parfois la barre des 100 000 certificats par jour. Fin juin 2017, l’autorité a indiqué avoir franchi les 100 millions de certificats depuis son lancement en décembre 2015. Rappelons qu’en février 2017, Let's Encrypt était utilisé par 13,70 % du total des domaines français enregistrés.

Après avoir lancé les certificats génériques en mars 2018, Let’s Encrypt a vu son trafic exploser : selon le baromètre NetTrack, les certificats délivrés par Let’s Encrypt représentaient 51,21 % de part de marché en avril 2018, bien loin de COMODO CA Limited qui occupait la seconde place avec ses 14,82 % de PDM. GoDaddy.com venait en troisième position avec 6,14 % de PDM.

Cette fois-ci, Let’s Encrypt a franchi un nouveau cap : il a déjà livré un milliard de certificats sur le Web. L’annonce a été faite par Josh Aas et Sarah Gran sur le blog de l’entreprise :

« Nous avons délivré notre milliardième certificat le 27 février 2020. Nous allons utiliser ce grand chiffre rond comme une occasion de réfléchir à ce qui a changé pour nous et pour Internet, menant à cet événement. En particulier, nous voulons parler de ce qui s'est passé depuis la dernière fois que nous avons parlé d'un grand nombre de certificats - cent millions.

« Une chose qui est différente maintenant, c'est que le Web est beaucoup plus crypté qu'il ne l'était. En juin 2017, environ 5 8% des chargements de pages utilisaient HTTPS dans le monde, 64 % aux États-Unis. Aujourd'hui, 8 1% des chargements de pages utilisent HTTPS dans le monde, et nous sommes à 91 % aux États-Unis! C'est une réalisation incroyable. C’est beaucoup plus de confidentialité et de sécurité pour tout le monde.

« Une autre chose qui est différente, c'est que notre organisation s'est un peu développée, mais pas beaucoup! En juin 2017, nous desservions environ 46 millions de sites Web, et nous l'avons fait avec 11 employés à temps plein et un budget annuel de 2,61 millions de dollars. Aujourd'hui, nous desservons près de 192 millions de sites Web avec 13 employés à temps plein et un budget annuel d'environ 3,35 millions de dollars. Cela signifie que nous desservons plus de 4x les sites Web avec seulement deux employés supplémentaires et une augmentation de 28% du budget. Le personnel et le budget supplémentaires ont fait plus que simplement améliorer notre capacité à évoluer, mais nous avons apporté des améliorations à tous les niveaux pour fournir un service encore plus sûr et fiable.

« Rien ne favorise l'adoption comme la facilité d'utilisation, et la base de la facilité d'utilisation dans l'espace des certificats est notre protocole ACME. ACME permet une automatisation poussée, ce qui signifie que les ordinateurs peuvent effectuer la plupart du travail. Il a également été normalisé en tant que RFC 8555 en 2019, ce qui permet à la communauté Web de créer en toute confiance un écosystème de logiciels encore plus riche autour de lui. Aujourd'hui, grâce à notre incroyable communauté, il existe un client ACME pour à peu près tous les environnements de déploiement. Certbot est l'un de nos favoris, et ils ont travaillé dur pour le rendre encore plus facile à utiliser.

« Lorsque vous combinez la facilité d'utilisation avec des incitations, c'est à ce moment que l'adoption décolle vraiment. Depuis 2017, les navigateurs ont commencé à nécessiter HTTPS pour plus de fonctionnalités, et ils ont considérablement amélioré la façon dont ils communiquent à leurs utilisateurs les risques de ne pas utiliser HTTPS. Lorsque les sites Web mettent leurs utilisateurs en danger en n'utilisant pas HTTPS, les principaux navigateurs affichent désormais des avertissements plus forts. De nombreux sites ont répondu en déployant HTTPS. »

Source : Let's Encrypt

Et vous ?

Qu'est-ce qui pourrait, selon vous, expliquer cette popularité ?
Au vu de la taille de l'équipe et du budget annuel, estimez-vous qu'il s'agit d'un exploit ? Dans quelle mesure ?
Votre entreprise (ou vous-même) utilise-t-elle un certificat émis par Let's Encrypt pour son site ?
Trouvez-vous qu'il est plus facile de déployer les certificats HTTPS avec Let's Encrypt qu'avec la concurrence ?