L’EFF et Mozilla lancent une nouvelle autorité de certification pour chiffrer tout le Web
L’EFF et Mozilla lancent une nouvelle autorité de certification pour chiffrer tout le Web,
« Let’s Encrypt » délivrera gratuitement des certificats TLS/SSL
Le protocole HTTPS (HyperText Transfer Protocol Secure) offre une meilleure sécurité des informations transmises sur le Web grâce au chiffrement des données. Si les sites de gestion de transactions financières, les réseaux sociaux ou encore les messageries électroniques utilisent largement le protocole, son adoption sur le Web tarde à se généraliser.
De nombreux sites Web utilisent encore HTTP, qui laisse les internautes vulnérables à beaucoup d'attaques, notamment le détournement de leur compte, le vol de leur identité, les injections de scripts malveillants ou encore l’espionnage des gouvernements.
Les éditeurs de sites Web font face à de nombreuses difficultés dans l’adoption de HTTPS. Les principales difficultés seraient, selon l’EFF (Electronic Frontier Foundation), liées à la complexité administrative de la souscription au protocole et au coût que requièrent des certificats HTTPS.
« Le protocole HTTPS dépend d’une administration horriblement complexe et souvent structurellement dysfonctionnelle pour l’authentification », s’insurge l’organisme de protection de la vie privée des internautes. « La procédure administrative pour obtenir, gérer et installer des certificats est la principale raison qui pousse les sites Web à rester sur HTTP au lieu de migrer vers HTTPS. »
Pour pallier à ces obstacles, l’EFF en collaboration avec la fondation Mozilla, Cisco, Akamai, IdenTrust et des chercheurs de l’université du Michigan, lance le projet « Let’s Encrypt ».
Le but de cette initiative est d’accélérer l’adoption du protocole HTTPS. « Let’s Encrypt » est une nouvelle autorité de certification qui fournira gratuitement des certificats SSL/TLS aux sites Web. L’organisme sera opérationnel à partir du deuxième trimestre de l’année prochaine et sera géré par l’Internet Security Research Group (ISRG), une nouvelle organisation à but non lucratif.
En plus de fournir gratuitement des certificats, « Let’s Encrypt » automatisera également le processus de délivrance des certificats, de configuration et de renouvèlement, afin d’encourager une adoption généralisée de TLS.
Ainsi, l’opération de configuration d’un certificat sur un site Web, qui pouvait prendre jusqu’à trois heures de temps, se fera désormais en quelques secondes. Un nouveau protocole baptisé ACME (Automated Certificate Management Environment) et développé par ces entreprises sera utilisé entre les serveurs Web et l’autorité de certification pour valider le nom de domaine avant de générer et d'installer automatiquement un certificat.
Tous les outils qui ont été développés autour de ce projet seront publiés dans une licence open source.
Source : EFF
Et vous ?
:fleche: Qu'en pensez-vous ? Belle initiative pour un Web sécurisé ?