Discussion :

[Mathis Lucas]

Let's Encrypt met fin aux courriels de notification d'expiration, pour de très bonnes raisons :
le service est coûteux, ajoute de la complexité à son infrastructure et constitue un risque de sécurité

Let's Encrypt est une autorité de certification qui fournit gratuitement des certificats « wildcard » pour les sites Web, permettant des connexions HTTPS pour des millions de domaines et rendant l'ensemble d'Internet vraiment solide. Depuis sa création, Let’s Encrypt envoie des courriels de notification d’expiration de certificat. Pratique pour penser à renouveler son certificat avant qu’il arrive à expiration. Mais l'organisation a récemment annoncé qu'elle mettrait fin à ce service de notification le 4 juin 2025. D'après Let's Encrypt, ce changement lui permettrait d'économiser de l'argent et de protéger la vie privée des utilisateurs qui sont se sont inscrits à ce service.

Let's Encrypt est une autorité de certification lancée en novembre 2014. Cette organisation à but non lucratif permet aux propriétaires de sites Web d'obtenir des certificats SSL/TLS sans frais, facilitant ainsi la mise en place de connexions sécurisées HTTPS. L'objectif principal de Let's Encrypt est de généraliser l'usage de connexions sécurisées sur Internet, en simplifiant notamment le processus d'obtention et de renouvellement des certificats SSL/TLS.

En somme, Let’s Encrypt a pour vocation à sécuriser les échanges et favoriser ainsi la confidentialité en ligne. À ce titre, stocker des millions d’adresses électroniques potentiellement exposés à un risque de piratage va alors à l’encontre de cette vision. C'est l'une des raisons à l'origine de la fin du service.

Mais c'est avant tout une histoire de coût. Envoyer des millions de mails génère un coût et des exigences particulières en matière d’infrastructure, alors que Let's Encrypt fournit gratuitement les certificats pour les sites Web. La fin du service devrait permettre à Let's Encrypt de faire des économies.

Par ailleurs, étant donné qu'il existe d'autres services qui offrent cette fonctionnalité et que de nombreuses personnes l'automatisent déjà, ils trouvent probablement logique d'arrêter d'envoyer des courriels. Dans un communiqué publié le 22 janvier 2025 sur son site Web officiel, Let's Encrypt explique :

Depuis sa création, Let's Encrypt envoie des courriels de notification d'expiration aux abonnés qui nous ont fourni une adresse électronique. Nous mettrons fin à ce service le 4 juin 2025. La décision de mettre fin à ce service est le résultat des facteurs suivants :

1. Au cours des dix dernières années, de plus en plus de nos abonnés ont été en mesure de mettre en place une automatisation fiable pour le renouvellement des certificats.
   
2. Fournir des courriels de notification d'expiration signifie que nous devons conserver des millions d'adresses électroniques liées aux enregistrements de délivrance. En tant qu'organisation attachant de l'importance à la protection de la vie privée, il est important pour nous de supprimer cette exigence.
   
3. Fournir des notifications d'expiration coûte à Let's Encrypt des dizaines de milliers de dollars par an, de l'argent que nous pensons pouvoir mieux dépenser sur d'autres aspects de notre infrastructure.
   
4. L'envoi de notifications d'expiration ajoute de la complexité à notre infrastructure, ce qui demande du temps et de l'attention pour la gérer et augmente la probabilité de commettre des erreurs. À long terme, en particulier lorsque nous ajouterons de nouveaux composants de services, nous devrons gérer la complexité globale en éliminant progressivement les composants du système qui ne sont plus justifiés.
   

Pour ceux qui souhaitent continuer à recevoir ces notifications, Let's Encrypt recommande d'utiliser Red Sift Certificates Lite, un service gratuit pour un maximum de 250 certificats. Le service indique également d'autres options, notamment Datadog SSL monitoring et TrackSSL.

Que pensent les utilisateurs de ce changement ?

Sur la toile, les avis suscités par ce changement sont mitigés. Pour certains, il est difficile de reprocher à Let's Encrypt de chercher à rationaliser et à réduire ses coûts pour se concentrer sur sa mission, étant donné le succès que le projet a rencontré jusqu'à présent. Internet Security Research Group (ISRG), qui gère le projet Let's Encrypt, est en bonne voie pour atteindre son objectif d'un taux de chiffrement du Web de 100 %, selon les données de l'organisation.

En fournissant gratuitement un protocole stable (ACME), le projet Let's Encrypt a supprimé les pénibles formalités administratives, les frais nominaux qui s'accumulaient entre les domaines et les problèmes de configuration des serveurs Web liés au chiffrement d'un site.

Comme le montre sa page de statistiques, Let's Encrypt a atteint son apogée en proposant un peu moins de 8 millions de certificats de cryptage par jour en décembre 2024 et a vu le pourcentage de pages Web HTTPS grimper régulièrement d'un peu moins de 30 % en 2014 à plus de 80 % au cours de l'année 2024.

« Je pense que c'est une fonction utile. J'ai déjà reçu des notifications lorsqu'il y avait une erreur et je suis reconnaissant qu'ils les aient envoyées au lieu d'avoir à l'apprendre pendant les temps d'arrêt. L'absence de notifications d'erreur est une perte d'une fonctionnalité intéressante, mais en même temps, je reconnais que l'utilisation d'un service gratuit signifie que les utilisateurs ne devraient pas se sentir trop privilégiés », peut-on lire dans les commentaires.

Un autre critique a souligné l'impact économique des courriers électroniques : « le courriel est à la fois bon marché et très coûteux. À partir d'une certaine échelle, la facture commence à s'alourdir. À l'échelle de Let's Encrypt, j'imagine que l'envoi de cet e-mail coûte cher. Si la valeur n'est pas là, alors personnellement je préférerais qu'ils concentrent leurs fonds sur d'autres efforts. Il y a certainement d'autres choses plus importantes ».

« Même les systèmes automatisés peuvent tomber en panne après des mises à jour et des changements de configuration. Les opérateurs ne seront pas nécessairement conscients des problèmes jusqu'à ce que les certificats expirent, potentiellement des mois plus tard. Si les notifications d'erreur étaient facultatives, je pense que de nombreux administrateurs choisiraient encore de les recevoir », a déclaré un autre utilisateur de Let's Encrypt.

Pour d'autres commentateurs, cette décision permet également à Let's Encrypt de renforcer la sécurité de ses propres infrastructures. « Outre la réduction de la charge sur leur infrastructure, ils le font probablement pour éviter que leurs serveurs SMTP sortants ne figurent sur des listes noires basées sur le DNS, étant donné que l'envoi de courriers électroniques représente une charge négligeable sur notre propre infrastructure », a écrit un critique.

Sources : Let's Encrypt, Page de statistiques de Let's Encrypt

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous de la fin du service de notification d'expiration de certificat de Let's Encrypt ?
Que pensez-vous des raisons avancées par Let's Encrypt pour justifier la fin de ce service de notification ?
Quel impact ce changement pourrait-il avoir sur le travail des opérateurs de sites Web inscrits à ce service de notification ?

Voir aussi

Let's Encrypt annonce la disponibilité des certificats génériques pour faciliter la gestion des sous-domaines avec un seul certificat

La liste des alternatives à Let's Encrypt offrant des certificats gratuits via ACME s'agrandit et comporte des options comme ZeroSSL pour mieux protéger les sites web

Let's Encrypt prend désormais en charge l'ACME-CAA, un protocole de communication, pour l'automatisation des échanges entre les autorités de certification

[A3gisS3c]

Les emails de notification pour avertir de la fin de validité d'un certificat, c'est plutôt pour des organisations amateures. Absolument aucun impact pour une organisation un tant soit peu pro, dans la mesure ou tous les certificats d'une infrastructure sont supervisés par Centreon, Prometheus ou Zabbix.

[Ti-Slackeux]

Bah,
Je dirais que si on a déjà en place une stack pour, au moins, un site web on devrait pouvoir
scripter un petit truc à coller en crontab histoire de ne plus être à l'affût d'un mail.
Un autre script sera appelé pour déclencher la mise à jour et s'occupera de toutes les étapes.
Bon, je suis pas un pro, mais j'en connait (des pros) qui ont fini dans le mur à cause d'un certif pas renouvelé.
Un certif ou une license d'ailleurs

[Anselme45]

A quoi ces mails pouvaient bien servir?

Ils étaient envoyé aux concepteurs de sites web alors que les hébergeurs de ces mêmes sites s'assurent de la mise à jour automatique de ces certificats Let's Encrypt???

[A3gisS3c]

Bah,
Je dirais que si on a déjà en place une stack pour, au moins, un site web on devrait pouvoir
scripter un petit truc à coller en crontab histoire de ne plus être à l'affût d'un mail.
Un autre script sera appelé pour déclencher la mise à jour et s'occupera de toutes les étapes.
Bon, je suis pas un pro, mais j'en connait (des pros) qui ont fini dans le mur à cause d'un certif pas renouvelé.
Un certif ou une license d'ailleurs

Hello Ti-Slackeux,

Oui normalement, la supervision des certificats (https, ldaps, etc...) se fait via Centreon/Prometheus/Zabbix, avec un warning et un critical à certain seuils (15 jours, une semaine...). Ensuite, une cron annuelle sur serveur pour déclencher un renouvellement automatisé via certbot/OpenSCEP/... ou ce que tu veux.

Et oui, en dehors de Let's encrypt l'exemple d'un certificat ldaps qui tombe, c'est ton infra qui tombe :p

[Pierre Louis Chevalier]

A quoi ces mails pouvaient bien servir?

Ils étaient envoyé aux concepteurs de sites web alors que les hébergeurs de ces mêmes sites s'assurent de la mise à jour automatique de ces certificats Let's Encrypt???

Parce que parfois c'est justement renouvelé manuellement et pas automatiquement, et parce que parfois le module de renouvellement automatique est en panne suite par exemple à une migration serveur, une panne, une attaque, ou encore suite à un changement de la version du langage serveur et que du coup cette alerte permet de savoir qu'il y a un gros problème.

Ne crois pas que toutes les sociétés gèrent tout cela de façon intelligente et professionnelle, tu serais surpris du niveau d'incompétence et d'amateurisme qu'on peu voir partout. Si un tas de grandes sociétés se font hacker leurs données et sont victimes de ransomwares c'est qu'il y a des raisons : le manque d'effectif de niveau suffisant, l'incompétence du management et des équipes, et le laxisme généralisé.

Et puis quand on donne des accès complets aux systèmes en prod à des stagiaires incompétents qui ont eu leur rncp en faisant leur devoirs avec ChatGPT, et qu'on colle du code généré par une IA sans contrôle sérieux sur un serveur en prod, que veux tu qui se passe sinon un désastre... ça : CrowdStrike : des anciens employés révèlent que « le contrôle qualité ne faisait pas partie de notre processus »