Let’s Encrypt : De l’HTTPS gratuit pour tout le monde

By | 22 juillet 2015

Les protocoles HTTP et HTTPS (S pour sécurisé) sont des protocoles qui permettent de naviguer sur le web. La différence entre les deux est que comme son nom l’indique HTTPS est sécurisé car il s’appuie sur les protocoles SSL/TLS. Concrètement, les informations qui passent par l’HTTPS sont chiffrées et donc ne passent pas « en clair » sur le réseau. Plutôt bien pour les mots de passe par exemple, ou encore pour contrer le phising… De plus en plus les sites web proposent un accès en HTTPS et c’est tant mieux.

Maintenant, si vous voulez mettre en place un accès HTTPS sur votre site web, il vous faut un certificat SSL/TLS (qui en gros atteste de l’identité de votre serveur). Pour vous procurer un certificat, vous avez deux solutions :

  1. générer un certificat vous-même
  2. acheter un certificat auprès d’une autorité de certification

La première solution est tout à fait faisable et valable, mais vous allez vite vous rendre compte d’un problème : le navigateur web affiche un gros message rouge bien flippant :

Alors certes, on peut passer outre ces message et accéder au site, mais l’utilisateur lambda ne le fera surement pas.

La raison est que le navigateur s’appuie sur un magasin de certificat et des autorités de certification de confiance dont vous ne faites pas partie, évidemment.

Pour éviter ça il faut acheter un certificat (les tarifs ne sont pas forcément excessifs, mais ça fait toujours une dépense en plus) auprès d’une autorité de certification connue et reconnue par les navigateurs web.  Il y en a beaucoup. Pour voir la liste des AC reconnues par Windows par exemple, il vous suffit de lancer le programme « certmgr.msc » et de regarder les « Autorités de certification racines de confiance ».

 

Après avoir résumé très rapidement la problématique, je vais vous présenter une nouvelle autorité de certification : Let’s Encrypt.

Soutenue notamment par Mozilla et la fondation Linux et mis en œuvre par l’Internet Security Research Group (donc on est dans du très sérieux), cette AC vise à démocratiser le protocole HTTPS (et donc sécuriser un peu plus le web) en émettant des certificats SSL/TLS gratuitement !

Let’s Encrypt sera évidemment reconnu comme AC de confiance, donc plus de problème de message d’avertissement.

Sur leur site web, ils indiquent l’ouverture du service pour septembre 2015, c’est donc imminent.

Bref, c’est une excellente nouvelle, cette initiative va vraiment dans le bon sens.

Site de Let’s Encrypt : https://letsencrypt.org/

2 thoughts on “Let’s Encrypt : De l’HTTPS gratuit pour tout le monde

  1. Julien

    Salut
    J’ai aussi une petite infra pour auto héberger pas mal de petits services web et m’intéresse de prêt à let’s encrypt pour sécuriser mon nas synology aurais tu déjà tente ? Aurais tu un petit tuto sous le coude ou prévois tu d’en rédiger un? Une rapide recherche Google depuis mon tel m’a amené ici 😉
    Réponds moi par mail si tu as des infos ou est partant pour partager la ou tu en est sur ce sujet

    Reply
    1. kpinchon Post author

      Salut Julien,

      Pour le moment le service n’est toujours pas ouvert. Ils ont pris un peu de retard. Tu peux postuler pour participer au programme de beta ici https://docs.google.com/forms/d/15Ucm4A20y2rf9gySCTXD6yoLG6Tba7AwYgglV7CKHmM/viewform?c=0&w=1.

      A priori il va débuter en novembre. Avant l’ouverture complète au public, il va bien falloir attendre encore quelques mois…

      Edit : Quelques mois je me suis emballé… Ouverture de la beta publique le 16/11 normalement !!

      Reply

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.