Cinq mois de cryptage : voici l'autorité de certification de Californie aujourd'hui

Tobias Schüring Dernière mise à jour : 21.01.2020
7 Min.
L'autorité de certification laisse l'autorité

Les certificats SSL gratuits de Let's Encrypt ont déclenché un développement important sur le marché de l'hébergement : La protection des données personnelles sur votre propre site web est désormais gratuite presque partout. Mais comment l'initiative, qui en tant qu'autorité de certification émet des certificats SSL gratuits pour tous, a-t-elle fonctionné jusqu'à présent ? Un aperçu détaillé de l'évolution.

Un certificat SSL apporte de nombreux avantages, au plus tard depuis l'introduction de la norme HTTP/2. Non seulement les données personnelles sont cryptées de manière fiable, mais le site web se charge également plus rapidement. En outre, le HTTPS - la variante sécurisée du protocole de transfert hypertexte - rend les sites web à l'épreuve du temps. Car le 8 septembre, Google a annoncé qu' à partir de 2017, Chrome marquera les sites web sans certificat SSL comme non sécurisés. Google se rapproche ainsi de plus en plus de son objectif autoproclamé de "HTTPS partout".

L'autorité de certification doit chiffrer - Google Chrome HTTPS Marking
Avec le nouvel affichage, même les pages des fournisseurs absolument dignes de confiance seraient dotées d'un signal d'avertissement rouge. Avec des médias comme le t3n, ce n'est généralement pas un problème car les lecteurs font confiance au média. Cependant, l'avertissement de Google peut coûter cher aux lecteurs et aux clients de pages moins connues.

Let's Encrypt joue un rôle important dans ce contexte. Parce que l'initiative de la Californie émet des certificats SSL gratuits pour tout le monde. Cela permet à chaque opérateur de site de mettre en place le SSL gratuitement et aussi relativement facilement. Et l'autorité de certification américaine a déjà exercé une influence sur le marché de l'hébergement. Car de nombreux hébergeurs offrent déjà des certificats gratuits aujourd'hui. Certains ont intégré Let's Encrypt, d'autres offrent des certificats gratuits d'autres fournisseurs.

Le succès de Let's Encrypt est donc pertinent non seulement pour les opérateurs de sites, mais aussi pour le marché de l'hébergement.

Let's Encrypt a émis plus de 10 000 000 de certificats à ce jour

Depuis le lancement officiel de Let's Encrypt en mai de cette année, les jalons se sont succédé à un rythme soutenu : Deux millions, cinq millions, puis récemment le dix millionième certificat. Mais ces chiffres ne sont pas synonymes de dix millions de sites cryptés par des certificats Let's Encrypt. Il faut plutôt approcher le nombre réel de plusieurs côtés.

Déjà le 23 avril 2016, c'est-à-dire quelques jours avant le lancement officiel, Let's Encrypt a pu délivrer son deux millionième certificat. Dix-neuf jours plus tard, le 9 mai, la barre des trois millions a été atteinte. Le 3 juin, il y avait déjà quatre millions de certificats, et la barre des cinq millions a ensuite été franchie le 19 juin. Fin juillet, ils étaient sept millions, et actuellement Let's Encrypt a émis 10,86 millions de certificats, soit plus du double de la mi-juin. Cela semble être un excellent début. Mais qu'est-ce qui se cache en réalité derrière ce chiffre ?

Nombre de certificats SSL gratuits de l'autorité de certification Let's Encrypt
En août et septembre, le nombre de certificats délivrés par Let's Encrypt a augmenté de manière particulièrement forte. Cela est probablement dû à la durée de 90 jours des certificats SSL gratuits. Le lancement officiel sur le marché a eu lieu en mai 2016. Source : https://letsencrypt.org/stats/

Sur les dix millions de certificats émis, près de la moitié sont arrivés à échéance

Le nombre 10 000 000 ne dit pas grand-chose au départ. Parce qu'il contient des données poubelles : les renouvellements de certificats, les certifications multiples et les certificats expirés sont comptés. Si vous savez également que le cycle de renouvellement des certificats Let's Encrypt est de 90 jours, le nombre devient de plus en plus relatif.

Le nombre de certificats actuellement valables est plus instructif : Let's Encrypt compte actuellement 5,51 millions de certificats valables. Cela ne signifie pas qu'il y a réellement autant de sites qui sont cryptés avec Let's Encrypt. Mais le nombre donne déjà une première valeur approximative.

Certificats valides de l'autorité de certification Let's Encrypt
On peut clairement constater que le nombre de certificats Let's Encrypt valables n'a augmenté que modérément d'août à septembre. En septembre, il a même stagné. Cela indique également que de nombreux certificats ont été renouvelés en août et en septembre. Source : https://letsencrypt.org/stats/

7,88 % des certificats sont délivrés sur des pages .fr

Selon la propre documentation de Let's Encrypt, 7,88 % des certificats fonctionnent sur des domaines de premier niveau. Toutefois, l'échantillon et la population sur lesquels ce chiffre est basé, ou auxquels ce chiffre peut être relié, ne sont pas indiqués. Cela rend l'interprétation assez difficile, car on ne sait rien sur l'origine du numéro. On peut supposer que c'est le nombre de pages dont Let's Encrypt connaît le TLD.

On peut toutefois en tirer une conclusion : Le domaine de premier niveau français est le TLD de code pays le plus fort avec 28 083 pages comptées. Il est suivi de .ru, .uk, .fr et aussi .cz. Plus populaires sont les TLD à code pays comme le .com, mais aussi le .ninja, dont l'autorité de certification compte 30 967.

Parts des TLD dans les certificats connus de Let's Encrypt
Nombre de certificats par domaine de premier niveau. Le .de est actuellement le TLD le plus populaire. Les noms de domaine .ninja, .me et .io sont également populaires. Les valeurs se réfèrent probablement à tous les sites dont les TLD sont connus de l'autorité de certification. Source : https://letsencrypt.org/stats/

Let's Encrypt est classé 14e au monde

Les données de w3techs.com constituent une autre bonne source. Le service collecte, sur la base des dix millions de sites web les plus importants dans le monde émis par Alexa, les parts de certaines technologies Internet. Les sites web correspondants sont recherchés spécifiquement pour certaines technologies. Si un résultat est obtenu, il est inclus dans le décompte. Vous pouvez en savoir plus sur l'échantillon utilisé ici.

Selon w3techs, Let's Encrypt est actuellement encore une très petite autorité de certification avec une part de marché de 0,185 % et se situe dans le tiers inférieur du marché. Même si vous ne regardez que les autorités de certification qui ont moins d'un pour cent de part de marché, Let's Encrypt se retrouve en bas de la liste. Tant en termes d'utilisation absolue que de part de marché.

Part de marché de l'autorité de certification Cryptons
Depuis le début de la bêta, Let's Encrypt a pu gagner régulièrement des parts de marché. Toutefois, le grand coup, c'est-à-dire la transition vers une croissance exponentielle, se fait attendre. Source : https://w3techs.com/technologies/details/sc-letsencrypt/all/all

Cependant, IdenTrust, l'autorité de certification qui fournit les certificats racine de Let's Encrypt, est en troisième position. C'est un bon signe. En effet, si la source des certificats racine jouit d'une grande fiabilité, les services basés sur ces certificats racine ont également tendance à être fiables.

L'autorité de certification Let's Encrypt par rapport aux autres AC
Let's Encrypt est clairement loin derrière, à la troisième place parmi les autorités de certification. IdenTrust, en revanche, peut assurer la troisième place. Il convient toutefois de noter qu'aucune information n'est disponible sur l'exhaustivité de cette liste de prestataires. Source : https://w3techs.com/technologies/overview/ssl_certificate/all

Les sites les plus petits et les moins fréquentés sont les suivants : Let's Encrypt

Le principal inconvénient de Let's Encrypt par rapport aux autorités de certification payantes reste le choix très limité de certificats. En effet, l'autorité de certification américaine ne propose jusqu'à présent qu'un seul type de certificat : un certificat validé par un domaine. Les fonctions étendues, comme la fameuse ligne d'adresse verte et les validations étendues - par exemple d'une entreprise ou d'une organisation - ne sont actuellement pas possibles avec Let's Encrypt. Bien sûr, cela ne signifie pas que les certificats Let's Encrypt sont moins sûrs, mais simplement que leur gamme de fonctions est limitée.

Exemple de certification OV
Let's Encrypt, par exemple, ne peut pas délivrer de tels certificats. On ne sait pas encore si des niveaux de validation plus élevés seront un jour atteints.

Une mise en œuvre de fonctions étendues n'est actuellement pas en vue. En effet, la validation des organisations et des entreprises nécessite des heures de travail et celles-ci coûtent à leur tour de l'argent. Une discussion détaillée à ce sujet peut également être trouvée dans le forum "Let's Encrypt".

Par conséquent, les sites les plus petits utilisent principalement Let's Encrypt, qui peut très bien se passer de validation avancée. Les données de w3techs montrent clairement que Let's Encrypt est actuellement principalement utilisé par des sites à faible ou moyen trafic. Les plus gros acteurs du marché, en revanche, ont tendance à desservir des sites au trafic moyen. En effet, ces autorités de certification sont des entreprises à but lucratif qui veulent logiquement gagner comme clients les grands sites et donc les sites qui dépensent beaucoup.

Diagramme de dispersion du champ "fournisseur" Autorité de certification
Ce graphique montre le classement actuel de l'autorité de certification Let's Encrypt par rapport aux autres acteurs. Remarquable : Let's Encrypt et IdenTrust sont tous deux davantage utilisés dans la zone à faible trafic. Source : https://w3techs.com/technologies/details/sc-letsencrypt/all/all

Conclusion : Let's Encrypt a encore un énorme potentiel à mon avis

Pour un regard dans la boule de cristal, ce sont moins les données concernant les pages avec certificat SSL qui sont intéressantes, mais plutôt les pages qui n'ont pas encore de certificat SSL. Selon w3techs, cela représente 30,8 % des pages. Si les raisons pour lesquelles ces sites ne disposent pas de certificat SSL ne sont pas ventilées - pour un bon pourcentage d'entre eux, je pense que le coût combiné aux obstacles techniques seront probablement les principaux obstacles.

Les deux sont maintenant grandement simplifiés par Let's Encrypt et son intégration dans les interfaces utilisateurs, par exemple dans les tableaux de bord des fournisseurs d'hébergement. Plus l'initiative californienne sera connue, plus le nombre de sites ne disposant pas de certificat SSL devrait diminuer.

Jusqu'à présent, il semble que Let's Encrypt n'ait pas encore réussi la transition vers une croissance exponentielle. Cela pourrait changer en 2017, lorsque Chrome commencera à marquer les sites web sans HTTPS. Le comportement des autres fabricants de navigateurs en la matière influencera également les développements futurs. Cependant, le développement que Let's Encrypt a initié est en tout cas à saluer, tant pour les opérateurs de sites que pour les fournisseurs d'hébergement.

Utilisez-vous déjà un certificat "Let's Encrypt" ou avez-vous une expérience en la matière ? Partagez vos connaissances avec nous et d'autres utilisateurs. En tant que Sys-Admin de RAIDBOXES , je suis également heureux de répondre à vos questions sur le SSL.

En tant qu'administrateur système, Tobias veille sur notre infrastructure et trouve chaque vis pour optimiser les performances de nos serveurs. Grâce à ses efforts inlassables, on peut souvent le trouver la nuit sur le site Slack .

Articles connexes

Commentaires sur cet article

Laisse un commentaire

Ton adresse électronique ne sera pas publiée. Les champs obligatoires sont marqués d'un *.