Let's Encrypt est gratuit - mais pas pour rien

Tobias Schüring Dernière mise à jour 04.11.2020
6 Min.
Let's Encrypt est gratuit - mais pas pour rien

Maintenant que de plus en plus d'hébergeurs proposent heureusement des certificats Let's Encrypt™, c'est-à-dire des SSL gratuits, il est temps de se pencher sur l'initiative qui se cache derrière ce SSL pour tous. Que fait exactement Let's Encrypt ? Pourquoi les certificats sont-ils gratuits ? Que peut déjà faire Let's Encrypt et où doit-il encore rattraper son retard ? Nous abordons ces questions et d'autres encore dans cet article de fond.

Le cryptage du trafic de données devient de plus en plus standard sur le net. Heureusement ! Comme nous avons également - il y a environ un an - intégré Let's Encrypt, il est logique de se pencher sur le projet.

Let's Encrypt est une autorité de certification relativement jeune (la version bêta a débuté en 2015) pour les certificats SSL - également appelée autorité de certification (CA). L'initiative a créé un processus automatisé par lequel les certificats SSL sont émis. Elles montrent aux utilisateurs d'une page qu'ils sont sur le "vrai" site web et que le trafic de données entre le navigateur et le serveur web est crypté.

Qu'est-ce que Let's Encrypt ?

Les principes clés de Let's Encrypt sont les suivants :

  • Gratuit : Toute personne possédant un nom de domaine peut utiliser Let's Encrypt. En outre, les certificats Let's Encrypt sont gratuits.
  • Automatique : le logiciel fonctionne sur un serveur web et peut obtenir des certificats avec Let's Encrypt, être sécurisé pour l'utilisation et renouveler automatiquement les certificats.
  • Sécurisé : Let's Encrypt fournit une plate-forme de sécurité avancée TLS, tant du côté de l'autorité de certification que de la société d'exploitation, pour les aider à sécuriser le serveur.
  • Transparent : tous les certificats Let's Encrypt émis et révoqués sont accessibles à tous.
  • Ouvert : Le protocole de délivrance et de renouvellement automatique est publié comme étant ouvert à l'adaptation par d'autres.
  • Coopératif : Tout comme les protocoles Internet sous-jacents eux-mêmes, Let's Encrypt est un effort de collaboration qui profite à la communauté.
Qu'est-ce que Let's Encrypt en fait ?

Let's Encrypt est une autorité de certification gratuite, automatisée et ouverte. Il vous donne les certificats numériques dont vous avez besoin pour activer le HTTPS (SSL/TLS) sur votre site web - gratuitement.

Oui, les certificats Let's Encrypt sont vraiment gratuits

Tout d'abord, la question la plus urgente : "Let's Encrypt est-il vraiment gratuit ? Pour faire court, une longue histoire : Oui, ni les certificats ni les programmes requis ne coûtent de l'argent. Pour beaucoup de gens, cependant, cette question ne repose pas sur des motifs purement économiques, mais plutôt sur la question de savoir pourquoi Let's Encrypt est gratuit. Alors pourquoi un produit que d'autres organisations ont payé auparavant est-il soudainement offert gratuitement ?

Le statut d'association à but non lucratif et les sponsors font de Let's Encrypt un service gratuit

Let's Encrypt est un projet à but non lucratif et n'a pratiquement pas besoin de payer de personnel. En outre, la plupart des processus sont automatisés. Cela permet d'éliminer une charge financière importante. Le matériel nécessaire est également largement couvert par la coopération avec la Linux Foundation. Tous les autres coûts sont couverts par des parrainages et des dons.

Tous peuvent faire un don à l'organisation, quel qu'en soit le montant, via Paypal. Un système de parrainage a été créé pour les sommes et les organisations plus importantes. Le forfait le plus cher coûte 350 000 dollars, les plus petites entreprises se situent entre 10 000 et 50 000 dollars - en fonction du nombre de personnes employées.

Quels sont les objectifs de Let's Encrypt ?

Let's Encrypt veut faire du HTTPS la nouvelle norme sur Internet et offrir à tous les utilisateurs du monde entier la possibilité de crypter leur site web gratuitement.

Or, dans ce contexte, les considérations économiques ne sont pas les seules à jouer un rôle, mais aussi la question des motivations des organisateurs. D'une part, il y a l'argument altruiste : le HTTPS devrait devenir la norme sur l'internet et tous les opérateurs de sites web du monde entier devraient pouvoir y adapter leur propre site web facilement et gratuitement.

Il est temps que les communications cryptées deviennent la norme par défaut sur le web et Let's Encrypt va y parvenir. - Cryptons

La deuxième motivation importante est la volonté de créer l'égalité sur le net. Après tout, la présence d'un certificat SSL est devenue un critère de classement pour Google. Et si certains sites web n'ont pas les moyens d'acheter les certificats ou n'y ont pas accès, cela exclut ces sites - et donc certaines personnes et leurs projets WordPress - de la participation à l'Internet.

Nous fournissons des certificats gratuitement, car le coût exclut les personnes. Nos certificats sont disponibles dans tous les pays du monde, car le Web sécurisé est pour tout le monde. - Cryptons

L'idée de justice et d'égalité semble donc être l'élément central des efforts de Let's Encrypt.

Let's Encrypt est soutenu par de nombreux leaders de l'industrie

En plus des sponsors officiels, qui comprennent de grands noms comme Mozilla, Cisco, Chrome et Facebook, des entreprises du secteur WordPress figurent également parmi les partisans du projet Let's Encrypt. Par exemple Automattic ou wpbeginner. Ces entreprises et organisations, en particulier, sont parfaitement adaptées à Let's Encrypt en raison de leur vision spécifique d'Internet ( WordPress ) et de leur motivation.

Automattic, d'ailleurs, est un sponsor argent, ce qui signifie un coût annuel de 50 000 dollars. Automattic s'est notamment distinguée par son intégration par défaut des certificats Let's Encrypt pour les sites hébergés sur WordPress .com les sites hébergés.

Cryptons les sponsors
Les sponsors platine et or de l'initiative Let's Encrypt à partir de 2016. Facebook est désormais un sponsor argent, gemalto ne figure plus dans la liste actuelle des sponsors.

Let's Encrypt est le projet, les structures organisationnelles sont beaucoup plus vastes

Let's Encrypt itself est simplement le service de certification, c'est-à-dire l'autorité qui délivre les certificats. La structure organisationnelle globale est toutefois beaucoup plus vaste. L'organisation mère de Let's Encrypt est l'Internet Security Research Group (ISRG), basée à San Francisco. Le conseil d'administration de cette organisation à but non lucratif comprend des scientifiques, des représentants d'entreprises et des représentants de fondations et d'autres organisations à but non lucratif.

Au moins deux autres institutions sont également importantes dans le cadre de Let's Encrypt. Tout d'abord, l'Electronic Frontier Foundation (EFF), qui s'occupe depuis mai 2016 de Certbot, le logiciel de certification pour la création de certificats Let's Encrypt. L'autre est la Linux Foundation, qui fournit l'infrastructure technique de Let's Encrypt par le biais de son programme Collaborative Projects.

Au total, plusieurs équipes d'organisations à but non lucratif sont en charge de Let's Encrypt et de l'infrastructure correspondante.

La plus grande force de Let's Encrypt est sa facilité d'utilisation

Les trois principaux atouts de Let's Encrypt sont certainement que les certificats sont gratuits, que Let's Encrypt et les logiciels nécessaires sont constamment développés et améliorés, et que la mise en place des certificats est relativement facile.

Nous avons déjà discuté de l'aspect des certificats gratuits. En outre, Let's Encrypt est également développé en permanence. Enfin, les certificats sont également assez faciles à mettre en place pour toute personne possédant les compétences et les droits d'accès appropriés. Même l'apprentissage des étapes nécessaires n'est pas nécessairement difficile. Il vous suffit d'utiliser Certbot et d'ajouter les modules nécessaires à votre serveur web. Les certificats peuvent ensuite être établis et renouvelés.

La plus grande faiblesse de Let's Encrypt est la compatibilité

Actuellement, la gamme de certificats est très gérable avec un seul certificat. Cela ne changera pas à l'avenir, car les validations étendues requises pour les certificats OV ou EV ne peuvent pas être automatisées et coûtent également de l'argent. Cependant, c'est précisément l'automatisation qui rend les certificats Let's Encrypt gratuits. Les validations étendues sont donc actuellement difficiles à concilier avec l'idée de base de Let's Encrypt, même s'il y avait des idées initiales sur la façon dont la validation pourrait être externalisée à la communauté, par exemple. Toutefois, à notre connaissance, les projets d'introduction de validations étendues n'ont pas encore été poursuivis.

Bien que les certificats ne soient pas difficiles à intégrer pour les professionnels, les non-professionnels ou les personnes n'ayant qu'un accès limité à leur serveur web, il peut s'avérer long et inutile d'ajuster la configuration du serveur pour le Certbot, de commander les certificats, de les intégrer et de les renouveler régulièrement. En particulier, la durée d'un certificat SSL "Let's Encrypt" est beaucoup plus courte que celle d'un certificat "normal". Les certificats Let's Encrypt doivent être renouvelés tous les 90 jours. Un certificat SSL classique, en revanche, est valable 12, 24 ou même 36 mois et ne nécessite généralement aucune maintenance technique pendant cette période.

En cas de problème, vous êtes totalement seul et ne pouvez pas faire appel aux services de soutien de Let's Encrypt. Toutefois, il existe un vaste forum de soutien communautaire. Dans les premiers temps, la compatibilité des certificats SSL gratuits avec différents navigateurs posait également problème. En attendant, tous les principaux navigateurs peuvent gérer les certificats. En fait, il n'y a de problèmes qu'avec des logiciels obsolètes.

Ainsi, si vous ne disposez pas des compétences nécessaires, l'intégration d'un certificat par vous-même, y compris les tests, le dépannage et la réparation, peut être nettement plus coûteuse que l'achat d'un certificat SSL. Cependant, cela aussi est désormais davantage un problème théorique. En effet, de nombreux hébergeurs prennent en charge une installation simple en un clic des certificats ou proposent des certificats de base gratuits d'autres autorités de certification.

Conclusion : Let's Encrypt a un noble objectif qui devrait être soutenu

Selon Let's Encrypt, elle veut rendre l'internet plus sûr et plus rapide, en particulier pour les utilisateurs qui n'avaient pas accès aux certificats SSL auparavant. Pour les opérateurs de sites web professionnels, Let's Encrypt présente avant tout un avantage en termes de coût, de confiance et de référencement, ne serait-ce que pour les validations de domaines. Il est douteux que des validations étendues soient également proposées dans un avenir prévisible - à supposer que le problème de l'automatisation ne puisse être résolu.

Cependant, l'utilisation des certificats permet non seulement un cryptage gratuit - et pour l'un ou l'autre une meilleure compréhension de la sécurité sur Internet - mais soutient aussi indirectement la bonne cause qui se cache derrière Let's Encrypt. Nous avons intégré Let's Encrypt principalement parce que nous croyons aux avantages du projet. Car si les certificats sont gratuits, leur utilisation ne l'est pas, mais il faut espérer qu'ils contribuent à une nouvelle norme de sécurité sur le net.

Vos questions sur "Let's Encrypt

Si vous avez encore des questions sur Let's Encrypt, jetez un coup d'œil à notre article de synthèse, où nous avons résumé de nombreuses informations importantes sur les certificats gratuits. Ou simplement posez votre question sous forme de commentaire en dessous de ce post.

Contribution à l'image : Unsplash

En tant qu'administrateur système, Tobias veille sur notre infrastructure et trouve chaque vis pour optimiser les performances de nos serveurs. Grâce à ses efforts inlassables, on peut souvent le trouver la nuit sur le site Slack .

Articles connexes

Commentaires sur cet article

Laisse un commentaire

Ton adresse électronique ne sera pas publiée. Les champs obligatoires sont marqués d'un *.