Autorité de certification Lets Authority

Cinq mois de Let's Encrypt : voici où en est aujourd'hui l'autorité de certification californienne

Les certificats SSL gratuits de Let's Encrypt ont donné le coup d'envoi d'une évolution importante sur le marché allemand de l'hébergement : La protection des données personnelles sur son propre site web est désormais presque partout gratuite. Mais comment s'est comportée jusqu'à présent l'initiative qui, en tant qu'autorité de certification, délivre des certificats SSL gratuits pour tout le monde ? Un regard détaillé sur l'évolution.

Depuis l'introduction de la norme HTTP/2, un certificat SSL présente de nombreux avantages. Non seulement les données personnelles sont cryptées de manière fiable, mais le site web se charge également plus rapidement. De plus, le HTTPS - c'est-à-dire la variante sécurisée du protocole de transfert hypertexte - rend les sites web à l'épreuve du temps. En effet, Google a annoncé le 8 septembre qu'à partir de 2017, les sites web sans certificat SSL seront marqués comme non sécurisés dans Chrome. Google se rapproche ainsi de son objectif autoproclamé de "HTTPS everywhere".

Autorité de certification Let's Encrypt - Marquage HTTPS Google Chrome
Avec le nouvel affichage, les pages de fournisseurs absolument dignes de confiance seraient également dotées d'un signal d'avertissement rouge. Pour des médias comme t3n, cela ne pose généralement pas de problème, car les lecteurs font confiance au média. Mais pour les sites moins connus, l'avertissement de Google peut coûter des lecteurs et des clients.

Let's Encrypt joue un rôle important dans ce contexte. En effet, l'initiative californienne délivre gratuitement des certificats SSL à tout le monde. Cela permet à chaque exploitant de site de mettre en place un SSL gratuitement et relativement facilement. Et l'autorité de certification américaine a déjà eu une influence sur le marché allemand de l'hébergement. En effet, de nombreux hébergeurs proposent déjà des certificats gratuits. Certains ont intégré Let's Encrypt, d'autres proposent des certificats gratuits d'autres fournisseurs.

Le succès de Let's Encrypt n'est donc pas seulement pertinent pour les exploitants de sites, mais aussi pour le marché allemand de l'hébergement.

Let's Encrypt a délivré plus de 10 000 000 de certificats à ce jour

Depuis le lancement officiel de Let's Encrypt en mai de cette année, les étapes se succèdent : Deux millions, cinq millions, puis récemment le dix millionième certificat. Mais ces chiffres ne sont pas synonymes de dix millions de sites cryptés par des certificats Let's Encrypt. Il faut plutôt s'approcher du chiffre réel de plusieurs côtés.

Dès le 23 avril 2016, soit quelques jours avant le lancement officiel, Let's Encrypt a pu émettre son deux millionième certificat. Dix-neuf jours plus tard, le 9 mai, les trois millions étaient déjà atteints. Le troisième juin, on comptait déjà quatre millions de certificats, puis les cinq millions ont été franchis le 19 juin. Fin juillet, il y en avait sept millions et actuellement, Let's Encrypt compte 10,86 millions de certificats, soit plus du double du nombre de certificats émis à la mi-juin. Cela semble être un démarrage en fanfare. Mais que se cache-t-il réellement derrière ce chiffre ?

Nombre de certificats SSL gratuits de Let's Encrypt Certification Authority
En août et septembre, le nombre de certificats émis par Let's Encrypt a connu une hausse particulièrement importante. Cela s'explique sans doute par la durée de 90 jours des certificats SSL gratuits. Le lancement officiel a eu lieu en mai 2016. Source : https://letsencrypt.org/stats/

Sur les dix millions de certificats émis, près de la moitié ont expiré

Le chiffre de 10.000.000 ne veut pas dire grand chose. Il contient en effet des données inutiles : les renouvellements de certificats, les certifications multiples et les certificats expirés sont en effet comptés. Si l'on sait en outre que le cycle de renouvellement des certificats Let's Encrypt est de 90 jours, le chiffre devient de plus en plus relatif.

Le nombre de certificats actuellement valables est déjà plus informatif : Let's Encrypt compte actuellement 5,51 millions de certificats valables. Cela ne signifie pas non plus qu'il y a effectivement autant de sites cryptés par Let's Encrypt. Mais ce chiffre donne déjà une première approximation.

Certificats valides de l'autorité de certification Let's Encrypt
Il apparaît clairement que le nombre de certificats Let's Encrypt valides n'a augmenté que modérément d'août à septembre. En septembre, il a même stagné. Cela indique également que de nombreux certificats ont été renouvelés en août et en septembre. Source : https://letsencrypt.org/stats/

7,88 % des certificats fonctionnent sur des sites en .de

Selon la propre documentation de Let's Encrypts, 7,88 % des certificats fonctionnent sur des domaines de premier niveau .de. L'échantillon et la population sur lesquels se base ce chiffre, ou auxquels il peut se rapporter, ne sont pas indiqués. Cela rend l'interprétation assez difficile, car on ne sait rien de l'origine du chiffre. On peut supposer qu'il s'agit du nombre de sites dont Let's Encrypt connaît le TLD.

On peut toutefois en tirer une conclusion : Le domaine de premier niveau allemand est le TLD spécifique au pays le plus fort, avec 28.083 pages recensées. Il est suivi par le .ru, le .uk, le .fr et le .cz. Les TLD non spécifiques à un pays sont plus populaires, comme le .com mais aussi le .ninja, dont l'Autorité de Certification compte 30.967 sites.

Parts des TLD dans les certificats Let's Encrypt connus
Nombre de certificats par domaine de premier niveau. .de est le TLD le plus représenté actuellement. Les .ninja, .me et .io sont également populaires. Les valeurs se réfèrent probablement à tous les sites dont le TLD est connu de l'autorité de certification. Source : https://letsencrypt.org/stats/

Let's Encrypt au 14e rang mondial

Les données de w3techs.com constituent une autre bonne source. Ce service recense les parts de certaines technologies Internet sur la base des dix premiers millions de sites Web dans le monde publiés par Alexa. Les sites web correspondants sont recherchés de manière ciblée pour certaines technologies. Si un résultat est obtenu, il est pris en compte dans le comptage. Pour en savoir plus sur l'échantillon utilisé, cliquez ici.

Selon w3techs, Let's Encrypt est actuellement une très petite autorité de certification avec 0,185 % de part de marché et se situe dans le dernier tiers du marché. Même si l'on considère uniquement les autorités de certification qui représentent moins d'un pour cent du marché, Let's Encrypt se retrouve en queue de peloton. Tant en termes d'utilisation absolue qu'en termes de part de marché.

Part de marché de l'autorité de certification Let's Encrypt
Depuis le lancement de la version bêta, Let's Encrypt n'a cessé de gagner des parts de marché. Le grand coup, c'est-à-dire le passage à une croissance exponentielle, se fait toutefois encore attendre. Source : https://w3techs.com/technologies/details/sc-letsencrypt/all/all

Toutefois, IdenTrust, c'est-à-dire l'autorité de certification qui fournit les certificats racine pour Let's Encrypt, se trouve en troisième position. C'est un bon signe. En effet, si la source des certificats racine jouit d'une grande fiabilité, les services basés sur ces certificats racine tendent également à être dignes de confiance.

L'autorité de certification Let's Encrypt comparée à d'autres AC
Let's Encrypt est nettement distancé dans la série des autorités de certification et occupe la troisième et dernière place. IdenTrust, en revanche, peut s'assurer la troisième place. Il convient toutefois de préciser qu'aucune information n'est disponible sur l'exhaustivité de cette liste de fournisseurs. Source : https://w3techs.com/technologies/overview/ssl_certificate/all

Ce sont surtout les petits sites à faible trafic qui utilisent Let's Encrypt

Le principal inconvénient de Let's Encrypt par rapport aux autorités de certification payantes reste le choix très limité de certificats. En effet, l'autorité de certification américaine ne propose pour l'instant qu'un seul type de certificat : un certificat validé par domaine. Les fonctions étendues, comme la fameuse barre d'adresse verte et les validations étendues - par exemple d'une entreprise ou d'une organisation - ne sont actuellement pas possibles avec Let's Encrypt. Cela ne signifie pas que les certificats Let's Encrypt sont moins sûrs, mais seulement que leurs fonctions sont limitées.

Exemple de certification OV
Let's Encrypt, par exemple, ne peut pas délivrer de tels certificats. Il n'est pas encore certain que des niveaux de validation plus élevés soient un jour disponibles.

La mise en œuvre de fonctions étendues n'est actuellement pas en vue. En effet, la validation d'organisations et d'entreprises nécessite des heures de travail et celles-ci coûtent de l'argent. Une discussion détaillée à ce sujet se trouve également sur le forum Let's Encrypt.

Par conséquent, ce sont surtout les petits sites qui utilisent Let's Encrypt et qui peuvent très bien se passer d'une validation étendue. Les données de w3techs montrent clairement que Let's Encrypt est actuellement utilisé principalement par des sites à trafic faible à moyen. En revanche, les plus grands acteurs du marché desservent plutôt les sites dont le trafic est moyennement élevé. En effet, ces autorités de certification sont des entreprises à but lucratif qui souhaitent logiquement attirer les grands sites, et donc les sites à fort pouvoir d'achat, comme clients.

Scatterplot du champ fournisseur Certification Authority
Ce graphique montre le positionnement actuel de l'autorité de certification Let's Encrypt par rapport aux autres acteurs. On remarque que Let's Encrypt et IdenTrust sont plutôt utilisés dans le domaine à faible trafic. Source : https://w3techs.com/technologies/details/sc-letsencrypt/all/all

Conclusion : Let's Encrypt a encore un énorme potentiel à mon avis

Pour jeter un coup d'œil dans la boule de cristal, ce ne sont pas tant les données sur les pages disposant d'un certificat SSL qui sont intéressantes, mais plutôt les pages qui n'ont pas encore de certificat SSL. Selon w3techs, cela représente 30,8 % des pages. Certes, les raisons de l'absence de certificat SSL ne sont pas détaillées pour ces pages - mais pour un bon pourcentage d'entre elles, les coûts combinés aux obstacles techniques devraient à mon avis être les principaux obstacles.

Let's Encrypt et son intégration dans les interfaces utilisateur, par exemple dans les tableaux de bord des fournisseurs d'hébergement, simplifient considérablement les choses. Plus l'initiative californienne sera connue, plus le nombre de sites ne disposant pas de certificat SSL diminuera.

Jusqu'à présent, il semble que Let's Encrypt n'ait pas encore réussi à passer à une croissance exponentielle. Cela pourrait changer en 2017, lorsque Chrome commencera à marquer les sites web sans HTTPS. Le comportement des autres fabricants de navigateurs dans ce domaine aura également une influence sur l'évolution future. Mais l'évolution initiée par Let's Encrypt est en tout cas à saluer, tant pour les exploitants de sites que pour les fournisseurs d'hébergement.

Utilises-tu déjà un certificat Let's Encrypt ou en as-tu fait l'expérience ? Partage tes connaissances avec nous et d'autres utilisateurs. En tant que sys-admin de Raidboxes , je réponds aussi volontiers à tes questions sur le thème SSL.

As-tu aimé cet article ?

Tes évaluations nous permettent d'améliorer encore plus notre contenu.

Laisse un commentaire

Ton adresse e-mail ne sera pas publiée.