Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet

cr  01.01.2012      r+  01.06.2024      r-  15.07.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

Le projet Let's Encrypt vise à généraliser l'usage de connexions sécurisées sur l'Internet en supprimant la nécessité de paiement, la configuration du serveur Web, les courriels de validation et de gestion de l'expiration des certificats.

Le projet est fait pour réduire de manière significative la complexité de la mise en place et de la maintenance du chiffrement TLS.

Let's Encrypt est une autorité de certification à but non lucratif gérée par Internet Security Research Group (ISRG) qui fournit gratuitement des certificats X.509 pour le cryptage TLS (Transport Layer Security). C'est la plus grande autorité de certification au monde, utilisée par plus de 265 millions de sites Web, dans le but que tous les sites Web soient sécurisés et utilisent HTTPS. L'Internet Security Research Group (ISRG), le fournisseur du service, est une organisation d'intérêt public. Les principaux sponsors sont l'EFF - Electronic Frontier Foundation, la Mozilla Foundation, OVH - Hébergement mutualisé Pro, Cisco Systems, Facebook, Google Chrome, Internet Society, AWS, NGINX et la Fondation Bill et Mélinda Gates. Les autres partenaires incluent l'autorité de certification IdenTrust, l'U-M - University of Michigan et la Linux Foundation.




Le projet Let's Encrypt a été lancé en 2012 par deux employés de la Fondation Mozilla (navigateur Web Firefox et courrielleur Thunderbird), Josh Aas et Éric Rescorla, avec Peter Eckersley de l'EFF (Electronic Frontier Foundation) et J. Alex Halderman de l'Université du Michigan. Internet Security Research Group, la société derrière Let's Encrypt a été constituée en mai 2013.

Let's Encrypt a été annoncé publiquement le 18 novembre 2014.

Le 28 janvier 2015, le protocole ACME a été officiellement soumis à l'IETF pour normalisation.

Le 9 avril 2015, l'ISRG et la Linux Foundation ont déclaré leur collaboration.

Les certificats racines et intermédiaires ont été générés début juin.

Le 16 juin 2015, le calendrier de lancement final du service a été annoncé, le premier certificat devant être émis dans le courant de la semaine du 27 juillet 2015, suivi d'une période d'émission limitée pour tester la sécurité et l'évolutivité. La disponibilité générale du service devait initialement commencer dans la semaine du 14 septembre 2015.

Le 7 août 2015, le calendrier de lancement a été modifié pour donner plus de temps pour assurer la sécurité et la stabilité du système, le premier certificat devant être émis dans la semaine du 7 septembre 2015, suivi de la disponibilité générale dans la semaine du 16 novembre 2015.

Le 14 septembre 2015, Let's Encrypt a émis son premier certificat, qui concernait le domaine helloworld.letsencrypt.org. Le même jour, l'ISRG a soumis ses demandes de programme racine à Mozilla, Microsoft, Google et Apple.

Le 19 octobre 2015, les certificats intermédiaires ont été signés par IdenTrust, ce qui a permis à tous les principaux navigateurs de faire confiance à tous les certificats émis par Let's Encrypt.

Le 12 novembre 2015, Let's Encrypt a annoncé que la disponibilité générale serait repoussée et que la première version bêta publique commencerait le 3 décembre 2015. La version bêta publique s'est déroulée du 3 décembre 2015 au 12 avril 2016. Il a été lancé le 12 avril 2016.

Le 3 mars 2020, Let's Encrypt a annoncé qu'il devrait révoquer plus de 3 millions de certificats le 4 mars, en raison d'une faille dans son logiciel d'autorité de certification. En travaillant avec des fournisseurs de logiciels et en contactant les opérateurs de sites, Let's Encrypt a pu faire renouveler 1,7 million des certificats concernés avant la date limite. Ils ont finalement décidé de ne pas révoquer les certificats concernés restants, car le risque de sécurité était faible et les certificats devaient expirer dans les 90 jours suivants.

En mars 2020, Let's Encrypt a reçu le prix annuel de la Free Software Foundation pour les projets d'utilité sociale.

Le 27 février 2020, Let's Encrypt a annoncé avoir émis un milliard de certificats.

En mai 2021, Let's Encrypt rapporte avoir émis 158 millions de certificats actifs (non expirés).




Pour activer HTTPS sur votre site Web, vous devez obtenir un certificat SSL (un fichier particulier) à partir d'une autorité de certification (AC ou CA pour Certificate Authority en anglais). Let’s Encrypt est la plus importante autorité de certification au monde et est la seule à but non lucratif : Let’s Encrypt délivre ses certificats SSL gratuitement et prend en charge (effectue) les opérations administratives.

Afin d'obtenir un certificat SSL pour le domaine de votre site Web par le biais de Let’s Encrypt, vous devez prouver que vous contrôlez ce domaine. Avec Let’s Encrypt, vous faites cela en utilisant un logiciel exploitant le protocole ACME (RFC 8555) (RFC (Request for Comments, Demande de commentaires)), qui s'exécute généralement chez votre hébergeur.

Si votre hébergeur propose Let’s Encrypt, il peut demander un certificat SSL gratuitement en votre nom, l'installer et le mettre à jour automatiquement. Pour certains hébergeurs, ceci est un paramètre de configuration que vous devez activer. d'autres fournisseurs génèrent et installent automatiquement les certificats pour tous leurs clients.

Regardez la liste des hébergeurs proposant Let’s Encrypt pour voir si le vôtre y figure. Si c'est le cas, suivez sa documentation pour configurer votre certificat Let’s Encrypt.

Si votre hébergeur ne prend pas en charge Let’s Encrypt, vous pouvez le contacter pour en demander l'intégration. Let’s Encrypt fait de son mieux pour rendre très facile l'intégration de Let’s Encrypt par l'hébergeur.

Si votre fournisseur d'hébergement ne souhaite pas intégrer Let’s Encrypt, mais propose le déploiement de certificats SSL personnalisés, vous pouvez installer Cerbot sur votre ordinateur et l'utiliser en mode manuel. Vous devez alors prouver que vous contrôlez le site Web, vous aurez à y ajouter un fichier spécifique. Certbot récupère ensuite un certificat SSL que vous pouvez installer chez votre fournisseur d'hébergement. Let’s Encrypt ne recommande pas cette option, car elle prend du temps et vous devrez la répéter plusieurs fois par an, peu de temps avant l'expiration de votre certificat. Pour la plupart des personnes, il est préférable de demander la prise en charge de Let’s Encrypt par votre fournisseur d'hébergement, voire de changer d'hébergeur s'il ne prévoit pas de l'implémenter.