Sécurité des petits sites WordPress

Let's Encrypt est gratuit - mais pas pour rien

Maintenant que, heureusement, de plus en plus d'hébergeurs proposent des certificats Let's Encrypt™, c'est-à-dire des SSL gratuits, il est temps de s'intéresser de plus près à l'initiative derrière ce SSL pour tous. Que fait exactement Let's Encrypt ? Pourquoi les certificats sont-ils gratuits ? Qu'est-ce que Let's Encrypt peut déjà faire et où est-il encore nécessaire de rattraper le temps perdu ? Nous abordons ces questions et d'autres dans cet article de fond.

Le cryptage du trafic de données devient de plus en plus la norme sur le réseau. Heureusement ! Après avoir intégré Let's Encrypt il y a environ un an, il est logique d'examiner le projet de plus près.

Let's Encrypt est une autorité de certification relativement jeune (la bêta a démarré en 2015) pour les certificats SSL - également appelée Certification Authority (CA). L'initiative a créé un processus automatisé par lequel des certificats SSL sont délivrés. Ceux-ci indiquent aux utilisateurs d'un site qu'il se trouve sur le "vrai" site web et que le trafic de données entre le navigateur et le serveur web est crypté.

Qu'est-ce que Let's Encrypt ?

Les principes clés de Let's Encrypt sont les suivants :

  • Gratuit : tous ceux qui possèdent un nom de domaine peuvent utiliser Let's Encrypt. De plus, les certificats Let's Encrypt sont gratuits.
  • Automatique : le logiciel fonctionne sur un serveur web et peut obtenir des certificats avec Let's Encrypt, être sécurisé pour être utilisé et renouveler automatiquement les certificats.
  • Sûr : Let's Encrypt fournit une plateforme pour une sécurité TLS avancée, aussi bien du côté de l'AC que de l'entreprise exploitante, afin de l'aider à sécuriser son serveur.
  • Transparent : tous les certificats Let's Encrypt émis et révoqués sont accessibles publiquement à tous.
  • Ouvert : le protocole automatique d'exposition et de renouvellement est publié comme ouvert afin que d'autres puissent l'adapter.
  • Coopératif : tout comme les protocoles Internet sous-jacents eux-mêmes, Let's Encrypt est un effort collectif qui profite à la communauté.

Qu'est-ce que Let's Encrypt ?

Let's Encrypt est une autorité de certification libre, automatisée et ouverte. Elle te permet d'obtenir les certificats numériques dont tu as besoin pour activer le HTTPS (SSL/TLS) sur ton site web, et ce gratuitement.

Oui, les certificats Let's Encrypt sont vraiment gratuits

La question la plus pressante d'abord : Let's Encrypt est-elle vraiment gratuite ? Pour faire court, je dirais : oui, ni les certificats, ni les programmes nécessaires ne coûtent d'argent. Pour beaucoup, cette question n'est pas motivée par des raisons purement économiques, mais plutôt par la question de savoir pourquoi Let's Encrypt est gratuite. Pourquoi un produit pour lequel d'autres organisations se faisaient payer auparavant est-il soudain proposé gratuitement ?

L'utilité publique et les sponsors rendent Let's Encrypt gratuite

Let's Encrypt est un projet à but non lucratif et ne doit pratiquement pas payer de personnel. De plus, la plupart des processus sont automatisés. Une charge financière importante est donc supprimée. Le matériel nécessaire est également payé en grande partie par la coopération avec la Linux Foundation. Tous les autres coûts sont couverts par les sponsors et les dons.

Tout le monde peut donner à l'organisation la somme d'argent de son choix via Paypal. Un système de sponsoring a été créé pour les sommes et les organisations plus importantes. Le package le plus cher coûte 350 000 $, les petites entreprises sont concernées pour des montants allant de 10 000 $ à 50 000 $ - selon le nombre de personnes employées.

Quels sont les objectifs de Let's Encrypt ?

Let's Encrypt veut faire du HTTPS le nouveau standard sur Internet, tout en offrant à tous les utilisateurs du monde entier la possibilité de crypter leur site gratuitement.

Dans ce contexte, les considérations économiques ne sont pas les seules à jouer un rôle, il faut aussi se demander quelles sont les motivations des organisateurs. D'une part, il y a l'argument altruiste : HTTPS doit devenir la norme sur Internet et permettre à tous les propriétaires de sites web du monde entier d'adapter leur propre site web à cette norme de manière simple et gratuite.

Il est temps que les communications cryptées deviennent la norme par défaut sur le web et Let's Encrypt s'apprête à le faire. - Let's Encrypt

La deuxième motivation importante est la volonté de créer une égalité sur le web. Après tout, la présence d'un certificat SSL est devenue un critère de classement pour Google. Et si certains sites web ne peuvent pas se payer les certificats ou n'ont pas accès à de tels certificats, cela exclut ces sites, et donc certaines personnes et leurs projets WordPress, de la participation sur Internet.

Nous fournissons des certificats gratuitement car les coûts excluent certaines personnes. Nos certificats sont disponibles dans tous les pays du monde parce que le Web sécurisé est destiné à tout le monde. - Let's Encrypt

L'idée de justice et d'égalité semble donc être l'élément central des aspirations de Let's Encrypt.

Let's Encrypt est soutenu par de nombreux grands noms de l'industrie

En plus des sponsors officiels, parmi lesquels on trouve des grands comme Mozilla, Cisco, Chrome ou Facebook, des entreprises du secteur WordPress font également partie des soutiens du projet Let's Encrypt, tels que par exemple Automattic ou wpbeginner. Ce sont surtout ces entreprises et organisations qui correspondent parfaitement à Let's Encrypt grâce à leur vision spécifique de WordPress sur Internet et à leur motivation.

Automattic est d'ailleurs un sponsor argent, ce qui représente un coût annuel de 50 000 $. Automattic s'est surtout distingué par son intégration standard de certificats Let's Encrypt pour les sites hébergés sur WordPress.com.

Sponsors de Lets Encrypt
Sponsors platine et or de l'initiative Let's Encrypt de 2016. Facebook est maintenant un sponsor argent, gemalto n'apparaît plus dans la liste actuelle des sponsors.

Let's Encrypt est le projet, les structures organisationnelles sont beaucoup plus grandes

Let's Encrypt elle-même n'est que le service de certification, c'est-à-dire l'autorité qui délivre les certificats. La structure organisationnelle globale est cependant bien plus grande. L'organisation mère de Let's Encrypt est l'Internet Security Research Group (ISRG), basé à San Francisco. Le conseil d'administration de cette organisation à but non lucratif comprend des scientifiques, des représentants d'entreprises et des représentants de fondations et d'autres organisations à but non lucratif.

Au moins deux autres institutions deviennent également importantes dans le cadre de Let's Encrypt. D'une part, l'Electronic Frontier Foundation (EFF), qui gère depuis mai 2016 Certbot, le logiciel de certification pour la création de certificats Let's Encrypt. D'autre part, la Linux Foundation, qui fournit l'infrastructure technique pour Let's Encrypt via son programme Collaborative Projects.

Au total, ce sont donc plusieurs équipes d'organisations à but non lucratif qui gèrent Let's Encrypt et l'infrastructure correspondante.

La plus grande force de Let's Encrypt est sa facilité d'utilisation.

Les trois plus grands points forts de Let's Encrypt sont certainement le fait que les certificats sont gratuits, que Let's Encrypt et le logiciel nécessaire sont constamment développés et améliorés et que l'installation des certificats est relativement simple.

Nous avons déjà abordé l'aspect des certificats gratuits. En plus de cela, Let's Encrypt est constamment développé. Enfin, les certificats sont faciles à mettre en place pour toute personne ayant les compétences et les droits d'accès nécessaires. Apprendre les étapes nécessaires n'est pas nécessairement difficile. Il suffit d'utiliser le Certbot et d'équiper le serveur Web avec les modules supplémentaires correspondants. Les certificats peuvent déjà être installés et renouvelés.

La plus grande faiblesse de Let's Encrypt est la compatibilité

Actuellement, la palette de certificats est très gérable avec un seul certificat. Cela ne changera pas à l'avenir, car les validations avancées nécessaires pour les certificats OV ou EV ne peuvent pas être automatisées et coûtent en plus de l'argent. Or, c'est justement l'automatisation qui rend les certificats Let's Encrypt gratuits. Les validations étendues sont donc actuellement difficiles à concilier avec l'idée de base de Let's Encrypt, même s'il y a eu des premières idées sur la manière dont la validation pourrait être transférée à la communauté par exemple. Mais à notre connaissance, les plans pour l'introduction de validations étendues n'ont pas été poursuivis jusqu'à présent.

Bien que les certificats ne soient pas difficiles à intégrer pour les professionnels, pour les non-initiés ou les personnes qui n'ont qu'un accès limité à leur serveur Web, cela peut prendre inutilement beaucoup de temps pour adapter la configuration du serveur au Certbot, commander les certificats, les intégrer et les renouveler régulièrement. En particulier, la durée d'un certificat SSL Let's Encrypt est beaucoup plus courte que celle d'un certificat "normal". Tous les 90 jours, les certificats Let's Encrypt doivent être renouvelés. En revanche, un certificat SSL classique est valable pendant 12, 24 ou même 36 mois et ne nécessite généralement pas de maintenance technique pendant cette période.

En cas de problème, tu es complètement livré à toi-même et tu ne peux pas faire appel aux services d'assistance de Let's Encrypt. Il existe cependant un forum d'assistance complet de la communauté. Au début, la compatibilité des certificats SSL gratuits avec différents navigateurs était un problème. Mais aujourd'hui, tous les grands navigateurs peuvent gérer les certificats. Les problèmes ne se posent plus qu'avec les logiciels obsolètes.

Si tu n'as pas les compétences nécessaires, l'intégration d'un certificat par toi-même, y compris les tests, le dépannage et la correction des erreurs, peut s'avérer bien plus coûteuse que l'achat d'un certificat SSL. Mais cela aussi est devenu un problème plutôt théorique. En effet, de nombreux hébergeurs soutiennent soit une installation simple en un clic des certificats, soit proposent des certificats de base gratuits d'autres autorités de certification.

Conclusion : Let's Encrypt a un objectif noble qui devrait être soutenu

Let's Encrypt veut, selon ses propres dires, rendre Internet plus sûr et plus rapide, et ce surtout pour les utilisateurs qui n'ont pas encore eu accès aux certificats SSL. Pour les administrateurs de sites Web professionnels, Let's Encrypt a surtout un avantage en termes de coûts, de confiance et de référencement, même si ce n'est que pour les validations de domaines. On peut douter que des validations étendues soient proposées dans un avenir proche - à condition que le problème de l'automatisation ne soit pas résolu.

Cependant, l'utilisation des certificats n'assure pas seulement un cryptage gratuit - et chez certains une compréhension plus profonde de la sécurité sur Internet - mais aussi un soutien indirect de la bonne cause derrière Let's Encrypt. Nous avons intégré Let's Encrypt principalement parce que nous croyons en l'utilité du projet. Car les certificats sont certes gratuits, mais leur utilisation n'est pas gratuite, elle contribue, nous l'espérons, à un nouveau standard de sécurité sur Internet.

Tes questions sur Let's Encrypt

Si tu as d'autres questions sur Let's Encrypt, consulte également notre article de synthèse dans lequel nous avons rassemblé de nombreuses informations importantes sur les certificats gratuits. Ou poste simplement ta question en tant que commentaire sous cet article.

Image de contribution : Unsplash

As-tu aimé cet article ?

Tes évaluations nous permettent d'améliorer encore plus notre contenu.

Un commentaire sur "Let's Encrypt est gratuit - mais pas pour rien".

Laisse un commentaire

Ton adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués d'un *.