Let’s Encrypt : du HTTPS gratuit et plus facile pour tout le monde

Mozilla, Cisco, Akamai, IdenTrust et l’Electronic Frontier Foundation veulent généraliser l’usage du protocole HTTPS sur tout le web.

Sécurité pixabay

Au mois d’août, Google annonçait que son moteur de recherche allait être favorable aux sites web sécurisés grâce au HTTPS.

Et aujourd’hui,  on sait que Mozilla, Cisco, Akamai, IdenTrust et l’Electronic Frontier Foundation (EFF) financent « Let’s Encrypt », une nouvelle autorité de certification dont le but est de « chiffrer tout le web ».

Comme l’explique l’EFF dans un article, les obstacles au déploiement du HTTPS sur le web sont la complexité, la partie administrative et bien entendu, le coût d’un certificat.

Let’s Encrypt proposera donc un service de certification gratuit et automatique, de manière à éliminer la complexité liée à la mise en place de cette couche de chiffrement (et les mauvaises configurations). Ainsi, d’après EFF, la configuration ne prendra plus que 30 secondes, au lieu de 3 heures.

Ce nouveau service gratuit, opéré par l’ONG Internet Security Research Group, fera ses débuts durant l’été 2015. Non seulement, il permettra de sécuriser les échanges, mais il devrait également être utile pour le référencement sur Google.

EFF

Mais en fait, à quoi sert ce « HTTPS » ?

D’après la définition de Wikipédia, il s’agit d’une combinaison du protocole HTTP (qui permet à votre navigateur de communiquer avec les serveurs) et d’une couche de chiffrement (SSL ou TLS).

Le HTTPS vérifie l’identité du site auquel vous accédez sur votre navigateur et garantit l’intégrité et la confidentialité des données échangées.

Dans son article, l’EFF explique que bien que le protocole HTTPS ne soit pas inviolable, il offre une meilleure protection par rapport au simple protocole HTTP.

Il y a quelques semaines, la fondation avait également publié un rapport sur sécurité de 39 services de messagerie. Et si l’on en croit son tableau, il y a encore du travail à faire.

(Source)


11 commentaires

  1. Il y a un point que je n’ai pas saisi.
    Etant donné que le protocole HTTPS sert également à authentifier le site web (par exemple quand je vais sur google.com ça m’explique bien que c’est Google Inc qui m’envoit cette page), comment peuvent-ils s’assurer de l’identité du site en 30sec ?

    Bien que l’idée soit louable, j’ai peur qu’on ne puisse plus faire confiance à la partie « authentification » du protocol.

  2. Pingback: Let’s Encrypt : du HTTPS gratuit et plus ...

  3. Pingback: Web | Pearltrees

  4. Pingback: Let’s Encrypt : du #HTTPS gratuit et plus...

  5. Pingback: Let’s Encrypt : du HTTPS gratuit et plus ...

  6. Merci pour la planète ! Combien de terawatt de consommé en plus pour encrypter des pages qui n’ont aucune raison de l’être ?
    L’intérêt de Google dans l’affaire n’a rien d’innocent : il ne sera plus possible de substituer l’analyse des journaux de connexion de ses serveurs (beaucoup plus pauvres avec mod-ssl que sans) à leur analytics (certes très complet mais avec des chiffres approximatifs), à l’heure où l’on s’interroge sur une dépense à leur égard plutôt problématique (ah l’époque béni (2005) où seul 50% de mon trafic provenait de google).
    J’imagine qu’Akamai va pouvoir facturer plus de puissance serveur et Cisco faire renouveler sa base installée de routeurs. Pour les autres, je m’interroge…

  7. Pingback: Autodesk : des logiciels gratuits pour les étudiants

  8. Pingback: DEV | Pearltrees

Commenter

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Presse-Citron 2005 - 2018 | A propos | Contact | Site hébergé par Cognix Systems | Informations sur les cookies