Let’s Encrypt : le HTTPS pour tous est maintenant en beta publique

Ce service permet de passer du HTTP au HTTPS gratuitement et facilement.

Let's Encrypt

Aujourd’hui, je pense que presque tous les professionnels du web sont d’accord sur ceci : avoir un site HTTPS, c’est toujours mieux que d’avoir un site HTTP. Après, il est vrai que l’importance du protocole utilisé varie selon le site et sa nature.

Dernièrement, de nombreux acteurs du numérique ont voulu encourager l’utilisation du protocole sécurisé. Par exemple, en aout 2014, Google a légèrement modifié l’algorithme de son moteur de recherche pour favoriser les sites en HTTPS.

Et si jusqu’à présent, il s’agit encore d’un signal de faible importance pour cet algo, la firme de Mountain View a fait comprendre que cela pourrait plus tard changer. De plus, en avril dernier, le chef de la sécurité de Google, durant un entretient avec AFP, avait exprimé son souhait de voir un web chiffré à 100 %.

De son côté, Mozilla a annoncé une stratégie qui vise, en substance, à priver les sites HTTP de certaines fonctionnalités de son navigateur Firefox.

Après, il faut savoir que faire passer un site du HTTP au HTTPS n’est pas une chose facile. En effet, en plus de requérir des moyens financiers, la mise en œuvre exige normalement certaines compétences.

Et c’est en partant de ce constat qu’en novembre 2014, Mozilla, Cisco, Akamai, IdenTrust et l’Electronic Frontier Foundation ont lancé l’initiative « Let’s Ecrypt ». Leur but ? « Chiffrer tout le web ».

En effet, Let’s Encrypt, en substance, est une autorité de certification qui permettra à tous les sites d’adopter le chiffrement HTTPS. En plus d’être gratuit, le service propose une automatisation de certaines tâches qui normalement requièrent un spécialiste.

Let’s Encrypt devait être ouvert plus tôt cet année, mais visiblement, le service a été plus difficile à mettre en place que prévu. Cependant, en octobre, le projet a franchi une étape importante : l’obtention de la signature d’IdentTrust, qui permet aux certificats de Let’s Encrypt d’avoir « la confiance de tous les principaux navigateurs ».

Et à partir d’aujourd’hui, Let’s Encrypt est même en beta ouverte, ce qui signifie que n’importe qui peut maintenant tester ses services gratuits. Dans un billet, l’Electronic Frontier Fundation explique cependant que le statut de beta publique indique que « bien que la sortie d’aujourd’hui fait que configurer le HTTPS devient facile, nous souhaitons encore faire beaucoup d’améliorations afin d’atteindre notre idéal qui est de rendre complètement automatisé la configuration du serveur et le renouvellement ».

 


Nos dernières vidéos

11 commentaires

  1. Quand c’est gratuit, le HTTPS n’est plus très sûr. Même les pirates auront une jolie boutique arnaqueur avec un certificat SSL.
    Et pour ceux qui ne savent pas encore, un simple compte gratuit chez CloudFlare permet déjà l’utilisation d’un SSL sur votre site sans débourser la moindre centime.

    • « Quand c’est gratuit, le HTTPS n’est plus très sûr » ?! Etes vous sûr de savoir de quoi vous parlez ? La « sûrteté » comme vous dîtes, ne dépend absolument pas du prix du certificat. Quand on est en HTTPS, cela veut juste dire que les données sont chiffrées entre le client et le serveur. Que le certificat qui sert à chiffrer les échanges soient très cher ou gratuit, le chiffrement sera techniquement le même. Le client et le serveur peuvent échanger des données « pirates », corrompus, malveillante… dans les 2 cas.

      C’est comme si vous disiez que : « Si les autoroutes deviennent gratuits, les routes ne seront plus très sûr ».

      • Bien sûr, les méthodes de chiffrement ne changent pas. Cependant, un SSL gratuit = vérification d’identité gratuit impliquant ainsi que plus de personnes mal intentionnés auront accès à une vérification de fausses identités.

        • Non, les personnes mal intentionnées n’auront pas accès à une vérification de fausses identités. Les personnes mal intentionnées auront accès à une vérification de leur vraie identité.

          A la place de leur site http://monsitepiratesupergenial.truc ils auront https://monsitepiratesupergenial.truc rien de plus.

          Ils ne pourront pas se faire passer pour un site qui ne leur appartient pas.

          Le problème vient du fait que « l’on » a trop dit aux utilisateurs néofites que s’ils voient un S après https ou un petit cadena, il n’y a pas de problèmes, ils peuvent faire confiance à ce qu’ils téléchargent sur ce site. C’est absolument faux. Cela veut juste dire que les communications sont chiffrés et que les données viennent bien de l’adresse après le https.

          Enfin, les personnes mals intentionnées (toujours pour reprendre vos mots) n’ont pas attendu que les certificats soient gratuits pour accomplir leurs méfaits…

          C’est une très bonne chose que cela devient gratuit pour que de plus en plus de monde puissent chiffrer leur site personnel et protéger les données qui y transitent. Bon, il faut encore payer son nom de domaine si on veut un .fr, .com…
          car on ne peut pas générer de certificat si on n’est pas propriétaire d’un nom de domaine.

    • Le principal intérêt est que les informations entre le client et le serveur ne transitent plus en clair sur plus de sites web…

  2. J’ai contacté le support d’OVH et on m’a dit que ce n’était pas compatible. Est-ce que le gars du support m’a baratiné pour que je prenne leur service à 49€ par an ou est-ce que c’est vrai ? 🙂

  3. Pingback: Les blogs hébergés par WordPress passent aussi au HTTPS - Hitwere

  4. Pingback: Les blogs hébergés par WordPress passent aussi au HTTPS – zambia

  5. Pingback: Les blogs hébergés par WordPress passent aussi au HTTPS | Technologie

Répondre