Quand les certificats HTTPS deviennent gratuits

A l’heure où même le directeur du FBI vous conseille de mettre un scotch sur la caméra de votre ordinateur pour éviter que vous ne soyez espionné, la sécurité de nos données est au cœur des préoccupations de chacun. Nous souhaitons donc que toutes nos données soient chiffrées, à commencer par celles qui circulent entre nous et les sites Web.

Jusqu’à présent, avoir un site web et disposer d’un certificat pour mettre en place du HTTPS était relativement cher et souvent évocateur de procédures compliquées, que l’on pouvait juger réservé à des sites Web professionnels.

Depuis quelques mois, un nouvel arrivant veut changer la donne en proposant des certificats gratuits : Lets Encrypt. L’ambition du projet est de fournir un Internet avec des communications sécurisées (HTTPS) pour tout le monde en lieu et place de communications non chiffrées (HTTP).

Pour asseoir son sérieux, le projet est soutenu par des grands acteurs du Web comme Facebook, Akamai, Cisco ou encore le français OVH, qui permettent de garantir sa pérennité.  Ce n’est pas totalement un hasard si OVH les a rejoints ! Pour les plus observateurs, vous aurez pu remarquer que l’hébergeur propose un service pour activer gratuitement le HTTPS sur les offres d’hébergement. Oui, vous l’avez deviné, le certificat utilisé est délivré par Lets Encrypt.

Et la question qui vous vient à la bouche immédiatement est « c’est bien joli cette histoire, mais est-ce que les Autorités de certification sont reconnues ? ». Et bien oui ! Et si ce n’est pas déjà fait, l’intégration de ces dernières est en cours dans certains navigateurs. Vous n’aurez donc aucun message d’erreur en surfant sur des sites avec un certificat délivré par Lets Encrypt.

De plus, pour vous accompagner, le client Certbot (anciennement appelé client Letsencrypt) vous permet de gérer de façon simple et presque automatique la création et le renouvellement des certificats. Les systèmes Web les plus utilisés sont référencés et vous disposez d’une aide en ligne pour l’installation. Pour les plus curieux, toute l’aide nécessaire est disponible en ligne à l’adresse : https://certbot.eff.org/.

Le processus de demande est quasiment automatique et se base sur le principe de la « preuve de possession du site web ». Le protocole utilisé pour cela est nommé ACME (Automatic Certificate Management Environment). En quelques mots, le site demandeur de certificat devra répondre à quelques challenges afin de prouver son « identité » et ainsi éviter une usurpation.

Vu d’ici le produit parait parfait, mais on peut noter quelques petits problèmes, notamment la durée des certificats qui est de 3 mois. Tout comme pour la création du certificat, la procédure de renouvellement est automatisable, ce petit désagrément ne devrait pas vraiment poser de problème. On peut également noter certains paramètres par défaut qui pourraient être plus « sécurisés », mais encore une fois ceci peut se régler lors de la demande de certificat grâce à des options.

Le plus gros défaut est certainement l’oubli de certains systèmes, comme par exemple nous pouvons citer IIS qui est le serveur Web de Microsoft. Il se place pourtant troisième dans les classements des serveurs Web les plus utilisés. En attendant un support de la part du client CertBot, il faudra alors se tourner vers les bonnes volontés qui essaient de créer une solution alternative pour IIS, mais alors sans support de la part de Lets Encrypt.

Si ce n’est pas encore fait, vous avez maintenant toutes les informations pour que vos sites Web soient sécurisés en HTTPS. On le rappelle encore, mais le fait de disposer du HTTPS sur vos sites, permet un meilleur référencement dans le moteur de recherche Google.

Comme Weekly, qui vous propose désormais du HTTPS via Let's encrypt, il ne vous reste plus qu’à faire un tour sur le site https://letsencrypt.org/.