27.09.16
mis à jour le 21/01/20
Tobias Schüring
0 commentaires
Autorité de certification Lets Authority

Cinq mois de Let's Encrypt : voici où en est aujourd'hui l'autorité de certification californienne

Les certificats SSL gratuits de Let's Encrypt ont été à l'origine d'un développement important sur le marché de l'hébergement allemand : La protection des données personnelles sur son propre site web est désormais gratuite presque partout. Mais comment s'est comportée jusqu'à présent l'initiative qui, en tant qu'autorité de certification, délivre des certificats SSL gratuits pour tout le monde ? Un regard détaillé sur le développement.

Depuis l'introduction de la norme HTTP/2, un certificat SSL offre de nombreux avantages. Non seulement les données personnelles sont cryptées de manière fiable, mais le site web se charge aussi plus rapidement. De plus, le HTTPS - c'est-à-dire la variante sécurisée du protocole de transfert hypertexte - rend les sites Web à l'épreuve du temps. En effet, Google a annoncé le 8 septembre qu'à partir de 2017, les sites web sans certificat SSL seront marqués comme non sécurisés dans Chrome. Google se rapproche ainsi de son objectif autoproclamé de "HTTPS everywhere".

Autorité de certification Let's Encrypt - Marque HTTPS Google Chrome
Avec cette nouvelle annonce, même les pages de fournisseurs absolument fiables seraient marquées d'un signal d'avertissement rouge. Pour les médias comme t3n, cela ne pose généralement pas de problème, car les lecteurs font confiance au média. Mais pour les sites moins connus, l'avertissement de Google peut coûter des lecteurs et des clients.

Let's Encrypt joue un rôle important dans ce contexte. L'initiative californienne fournit des certificats SSL gratuits à tout le monde. Cela permet à chaque propriétaire de site de mettre en place le SSL gratuitement et relativement facilement. Et l'autorité de certification américaine a déjà eu un impact sur le marché de l'hébergement allemand. En effet, de nombreux hébergeurs proposent déjà des certificats gratuits. Certains ont intégré Let's Encrypt, d'autres proposent des certificats gratuits d'autres fournisseurs.

Le succès de Let's Encrypt n'est donc pas seulement pertinent pour les opérateurs de sites, mais aussi pour le marché de l'hébergement allemand.

Let's Encrypt a délivré plus de 10 000 000 de certificats jusqu'à présent

Depuis que Let's Encrypt a été officiellement lancée en Mai cette année, les étapes se succèdent : Deux millions, cinq millions, puis récemment le dix millionième certificat. Mais ces chiffres ne sont pas synonymes de dix millions de pages cryptées par des certificats Let's Encrypt. Il faut plutôt s'approcher du chiffre réel de plusieurs côtés.

Dès le 23 avril 2016, soit quelques jours avant le lancement officiel, Let's Encrypt a pu émettre son deux millionième certificat. Dix-neuf jours plus tard, le 9 Mai, les trois millions étaient déjà atteints. Le troisième juin, il y avait déjà quatre millions de certificats, puis les cinq millions ont été dépassés le 19 juin. Fin juillet, il y en avait sept millions et actuellement, Let's Encrypt compte 10,86 millions de certificats, soit plus du double du nombre de certificats émis à la mi-juin. Cela ressemble à un démarrage en fanfare. Mais que se cache-t-il réellement derrière ce chiffre ?

Nombre de certificats SSL gratuits de l'autorité de certification Let's Encrypt
En août et septembre, le nombre de certificats émis par Let's Encrypt a particulièrement augmenté. Cela est probablement dû à la durée de 90 jours des certificats SSL gratuits. Le lancement officiel a été Mai 2016. Source : https://letsencrypt.org/stats/

Sur les dix millions de certificats émis, près de la moitié ont expiré.

Le chiffre 10 000 000 ne veut pas dire grand chose. Il contient en effet des données inutiles : les renouvellements de certificats, les certifications multiples et les certificats expirés sont comptés. Si l'on sait en outre que le cycle de renouvellement des certificats Let's Encrypt est de 90 jours, le chiffre devient de plus en plus relatif.

Le nombre de certificats actuellement valides est déjà plus informatif : Let's Encrypt compte actuellement 5,51 millions de certificats valides. Cela ne signifie pas non plus qu'il y a autant de sites cryptés par Let's Encrypt. Mais ce chiffre donne déjà une première approximation.

Certificats valides de l'autorité de certification Let's Encrypt
On voit clairement que le nombre de certificats Let's Encrypt valides n'a augmenté que modérément d'août à septembre. En septembre, il a même stagné. Cela indique également que de nombreux certificats ont été renouvelés en août et septembre. Source : https://letsencrypt.org/stats/

7,88 pour cent des certificats fonctionnent sur des sites .de

Selon la propre documentation de Let's Encrypts, 7,88% des certificats fonctionnent sur des domaines de premier niveau .de. L'échantillon et la population sur lesquels ce chiffre est basé ou auquel il peut se rapporter ne sont pas indiqués. Cela rend l'interprétation très difficile, car on ne sait rien de l'origine du chiffre. On peut supposer qu'il s'agit du nombre de sites dont Let's Encrypt connaît le TLD.

On peut toutefois en tirer une conclusion : Le domaine de premier niveau allemand est le TLD spécifique au pays le plus fort, avec 28 083 pages recensées. Suivent le .ru, le .uk, le .fr et le .cz. Les TLD non spécifiques à un pays sont plus populaires, comme .com mais aussi .ninja, dont l'Autorité de Certification compte 30 967.

Parts des TLD dans les certificats Let's Encrypt connus
Nombre de certificats par domaine de premier niveau. .de est le TLD le plus représenté actuellement. Les .ninja, .me et .io sont également populaires. Les valeurs se réfèrent probablement à tous les sites dont le TLD est connu de l'Autorité de Certification. Source : https://letsencrypt.org/stats/

Let's Encrypt à la 14e place mondiale

Les données de w3techs.com sont une autre bonne source. Le service recueille les parts de certaines technologies Internet en se basant sur les dix premiers millions de sites Web dans le monde, publiés par Alexa. Les sites web correspondants sont recherchés de manière ciblée pour certaines technologies. Si un résultat est obtenu, il est pris en compte dans le comptage. Pour en savoir plus sur l'échantillon utilisé, clique ici.

Selon w3techs, Let's Encrypt est actuellement une très petite autorité de certification avec 0,185% de part de marché et se situe dans le dernier tiers du marché. Même si l'on ne considère que les autorités de certification qui ont moins d'un pour cent de part de marché, Let's Encrypt se retrouve en queue de peloton. Aussi bien en termes d'utilisation absolue qu'en termes de part de marché.

Part de marché de l'autorité de certification Let's Encrypt
Depuis le lancement de la bêta, Let's Encrypt a gagné des parts de marché. Mais le grand coup, c'est-à-dire le passage à une croissance exponentielle, se fait encore attendre. Source : https://w3techs.com/technologies/details/sc-letsencrypt/all/all

Cependant, IdenTrust, c'est-à-dire l'autorité de certification qui fournit les certificats racine pour Let's Encrypt, se trouve à la troisième place. C'est un bon signe. En effet, si la source des certificats racine jouit d'une grande fiabilité, les services basés sur ces certificats racine ont tendance à être également dignes de confiance.

L'autorité de certification Let's Encrypt comparée aux autres AC
Let's Encrypt est nettement distancé dans la série des autorités de certification, à la troisième et dernière place. IdenTrust, en revanche, peut s'assurer la troisième place. Il faut dire qu'aucune information n'est disponible sur l'exhaustivité de cette liste de fournisseurs. Source : https://w3techs.com/technologies/overview/ssl_certificate/all

Ce sont surtout les petits sites avec peu de trafic qui utilisent Let's Encrypt

Le principal inconvénient de Let's Encrypt par rapport aux autorités de certification payantes reste le choix très limité de certificats. En effet, l'autorité de certification américaine ne propose pour l'instant qu'un seul type de certificat : un certificat validé par le domaine. Les fonctions avancées, comme la fameuse barre d'adresse verte et les validations avancées - par exemple d'une entreprise ou d'une organisation - ne sont pas possibles avec Let's Encrypt pour le moment. Bien sûr, cela ne signifie pas que les certificats Let's Encrypt sont moins sûrs, mais seulement que leurs fonctionnalités sont limitées.

Exemple de certification OV
Let's Encrypt, par exemple, ne peut pas émettre de tels certificats. Il n'est pas encore certain que des niveaux de validation plus élevés soient un jour disponibles.

La mise en œuvre de fonctions avancées n'est pas en vue actuellement. La validation des organisations et des entreprises exige des heures de travail et celles-ci coûtent de l'argent. Une discussion détaillée à ce sujet se trouve également sur le forum Let's Encrypt.

Par conséquent, ce sont surtout les petits sites qui utilisent Let's Encrypt, qui peuvent bien se passer d'une validation avancée. Les données de w3techs montrent clairement que Let's Encrypt est actuellement utilisé principalement par les sites à trafic faible à moyen. En revanche, les plus grands acteurs du marché servent plutôt les sites avec un trafic moyennement élevé. En effet, ces autorités de certification sont des entreprises à but lucratif qui cherchent logiquement à attirer les grands sites et donc les sites à fort pouvoir d'achat comme clients.

Scatterplot du champ fournisseur Certification Authority
Ce tracé montre le positionnement actuel de l'autorité de certification Let's Encrypt par rapport aux autres acteurs. On remarque que Let's Encrypt et IdenTrust sont plutôt utilisés dans la zone à faible trafic. Source : https://w3techs.com/technologies/details/sc-letsencrypt/all/all

Conclusion : Let's Encrypt a encore un énorme potentiel à mon avis.

Pour un regard dans la boule de cristal, ce ne sont pas tant les données sur les pages avec un certificat SSL qui sont intéressantes, mais plutôt les pages qui n'ont pas encore de certificat SSL. Selon w3techs, cela représente 30,8% des pages. Bien que les raisons pour lesquelles ces sites ne possèdent pas de certificat SSL ne soient pas détaillées, je pense que pour un bon pourcentage d'entre eux, les coûts combinés aux obstacles techniques devraient être les principaux obstacles.

Let's Encrypt et son intégration dans les interfaces utilisateur, par exemple dans les tableaux de bord des fournisseurs d'hébergement, facilitent grandement les choses. Plus l'initiative californienne sera connue, plus le nombre de sites qui n'ont pas de certificat SSL diminuera.

Jusqu'à présent, il semble que Let's Encrypt n'ait pas encore réussi la transition vers une croissance exponentielle. Cela pourrait changer en 2017, lorsque Chrome commencera à marquer les sites web sans HTTPS. Le comportement des autres fabricants de navigateurs dans ce domaine aura également une influence sur le développement futur. Mais le développement initié par Let's Encrypt est en tout cas à saluer, aussi bien pour les propriétaires de sites que pour les fournisseurs d'hébergement.

Utilises-tu déjà un certificat Let's Encrypt ou en as-tu fait l'expérience ? Partage tes connaissances avec nous et les autres utilisateurs. En tant que sys-admin de Raidboxes , je réponds aussi volontiers à tes questions sur le thème SSL.

As-tu aimé cet article ?

Tes évaluations nous permettent d'améliorer encore plus notre contenu.

Tobias Schüring

En tant qu'administrateur système, Tobias veille sur notre infrastructure et trouve chaque vis pour optimiser les performances de nos serveurs. Grâce à ses efforts inlassables, on peut souvent le trouver la nuit sur le site Slack .

Laisse un commentaire

Ton adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués d'un *.