Let's Encrypt est gratuit - mais pas pour rien

Let's Encrypt est gratuit - mais pas pour rien

Maintenant que, heureusement, de plus en plus d'hébergeurs proposent des certificats Let's Encrypt™, c'est-à-dire des SSL gratuits, il est temps d'examiner de plus près l'initiative qui se cache derrière ce SSL pour tous. Que fait exactement Let's Encrypt ? Pourquoi les certificats sont-ils gratuits ? Que peut déjà faire Let's Encrypt et où faut-il encore rattraper le retard ? Nous abordons ces questions et d'autres dans cet article de fond.

Le cryptage du trafic de données devient de plus en plus la norme sur le réseau. Heureusement ! Après avoir intégré Let's Encrypt il y a environ un an, il est logique de s'intéresser de plus près à ce projet.

Let's Encrypt est une autorité de certification relativement jeune (la bêta a démarré en 2015) pour les certificats SSL - également appelée Certification Authority (CA). L'initiative a créé un processus automatisé par lequel des certificats SSL sont délivrés. Ceux-ci indiquent aux utilisateurs d'un site qu'il se trouve sur le "vrai" site web et que le trafic de données entre le navigateur et le serveur web est crypté.

Qu'est-ce que Let's Encrypt ?

Les principes clés de Let's Encrypt sont les suivants :

  • Gratuit : tous ceux qui possèdent un nom de domaine peuvent utiliser Let's Encrypt. En outre, les certificats Let's Encrypt sont gratuits.
  • Automatique : le logiciel fonctionne sur un serveur web et peut obtenir des certificats avec Let's Encrypt, être sécurisé pour l'utilisation et renouveler automatiquement les certificats.
  • Sûr : Let's Encrypt met à disposition une plateforme pour une sécurité TLS avancée, aussi bien du côté de l'AC que de l'entreprise exploitante, afin de l'aider à sécuriser son serveur.
  • Transparent : tous les certificats Let's Encrypt émis et révoqués sont accessibles publiquement à tous.
  • Ouvert : Le protocole automatique d'exposition et de renouvellement est publié comme ouvert afin que d'autres puissent l'adapter.
  • Coopératif : à l'instar des protocoles Internet sous-jacents eux-mêmes, Let's Encrypt est un effort collectif qui profite à la communauté.

Qu'est-ce que Let's Encrypt ?

Let's Encrypt est une autorité de certification libre, automatisée et ouverte. Elle te permet d'obtenir les certificats numériques dont tu as besoin pour activer HTTPS (SSL/TLS) sur ton site web - et ce gratuitement.

Oui, les certificats Let's Encrypt sont vraiment gratuits

La question la plus pressante d'abord : Let's Encrypt est-il vraiment gratuit ? Pour faire court, oui : Oui, ni les certificats, ni les programmes nécessaires ne coûtent d'argent. Pour beaucoup, cette question n'est pas motivée par des raisons purement économiques, mais plutôt par la question de savoir pourquoi Let's Encrypt est gratuit. Pourquoi un produit que d'autres organisations se faisaient rémunérer auparavant est-il soudain proposé gratuitement ?

L'utilité publique et les sponsors rendent Let's Encrypt gratuit

Let's Encrypt est un projet à but non lucratif et ne doit pratiquement pas payer de personnel. De plus, la plupart des processus sont automatisés. Une charge financière importante disparaît donc. Le matériel nécessaire est également en grande partie couvert par la coopération avec la Linux Foundation. Tous les autres frais sont couverts par les sponsors et les dons.

Tout le monde peut donner à l'organisation la somme d'argent de son choix via Paypal. Un système de sponsoring a été créé pour les sommes et les organisations plus importantes. Le package le plus cher coûte 350 000 $, les petites entreprises sont concernées pour des montants allant de 10 000 $ à 50 000 $ - selon le nombre de personnes employées.

Quels sont les objectifs de Let's Encrypt ?

Let's Encrypt souhaite faire du HTTPS le nouveau standard sur Internet, tout en offrant à tous les utilisateurs du monde la possibilité de crypter gratuitement leur site web.

Dans ce contexte, les considérations économiques ne sont pas les seules à jouer un rôle, il faut aussi se demander quelles sont les motivations des organisateurs. Il y a d'une part l'argument altruiste : HTTPS doit devenir la norme sur Internet et permettre à tous les exploitants de sites web du monde entier d'adapter facilement et gratuitement leur propre site web à cette norme.

Il est temps que les communications cryptées deviennent la norme par défaut sur le web et Let's Encrypt s'engage à le faire. - Let's Encrypt

La deuxième motivation importante est la volonté de créer une égalité sur le web. Après tout, la présence d'un certificat SSL est devenue entre-temps un critère de classement pour Google. Et si certains sites web n'ont pas les moyens de s'offrir les certificats ou n'ont pas accès à de tels certificats, cela exclut ces sites - et donc certaines personnes et leurs projets WordPress - de la participation sur Internet.

Nous fournissons des certificats gratuitement, car les coûts excluent les personnes. Nos certificats sont disponibles dans tous les pays du monde, parce que le web sécurisé est pour tout le monde. - Let's Encrypt

L'idée de justice et d'égalité semble donc être l'élément central des aspirations de Let's Encrypt.

Let's Encrypt est soutenu par de nombreux grands noms de l'industrie

Outre les sponsors officiels, parmi lesquels on trouve des grands noms comme Mozilla, Cisco, Chrome ou Facebook, des entreprises du domaine WordPress font également partie des soutiens du projet Let's Encrypt. Par exemple Automattic ou wpbeginner. Ce sont surtout ces entreprises et organisations qui, par leur vision spécifique de WordPress sur Internet et leur motivation, conviennent parfaitement à Let's Encrypt.

Automattic est d'ailleurs un sponsor argent, ce qui représente un coût annuel de 50 000 $. Automattic s'est surtout distingué par son intégration standard de certificats Let's Encrypt pour les sites hébergés sur WordPress.com.

Sponsors de Lets Encrypt
Sponsors Platine et Or de l'initiative Let's Encrypt de 2016. Facebook est désormais un sponsor Argent, gemalto n'apparaît plus dans la liste actuelle des sponsors.

Let's Encrypt est le projet, les structures organisationnelles sont beaucoup plus grandes

Let's Encrypt elle-même n'est que le service de certification, c'est-à-dire l'autorité qui délivre les certificats. La structure organisationnelle globale est toutefois nettement plus importante. L'organisation mère de Let's Encrypt est l'Internet Security Research Group (ISRG), dont le siège est à San Francisco. Le conseil d'administration de cette organisation à but non lucratif comprend des scientifiques, des représentants d'entreprises et des représentants de fondations et d'autres organisations à but non lucratif.

Au moins deux autres institutions deviennent également importantes dans le contexte de Let's Encrypt. D'une part, l'Electronic Frontier Foundation (EFF), qui gère depuis mai 2016 Certbot, le logiciel de certification pour la création de certificats Let's Encrypt. D'autre part, la Linux Foundation, qui fournit l'infrastructure technique pour Let's Encrypt via son programme Collaborative Projects.

Au total, ce sont donc plusieurs équipes d'organisations à but non lucratif qui gèrent Let's Encrypt et l'infrastructure correspondante.

La plus grande force de Let's Encrypt est sa simplicité d'utilisation

Les trois principaux points forts de Let's Encrypt sont certainement le fait que les certificats sont gratuits, que Let's Encrypt et le logiciel nécessaire sont constamment développés et améliorés et que la mise en place des certificats est relativement simple.

Nous avons déjà abordé l'aspect des certificats gratuits. En outre, Let's Encrypt est constamment développé. Enfin, les certificats sont très faciles à installer pour toute personne disposant des compétences et des droits d'accès nécessaires. Apprendre les étapes nécessaires n'est pas non plus nécessairement difficile. Il suffit d'utiliser le Certbot et d'équiper le serveur web des modules supplémentaires correspondants. Les certificats peuvent déjà être installés et renouvelés.

La plus grande faiblesse de Let's Encrypt est la compatibilité

Actuellement, la palette de certificats est très claire avec un seul certificat. Cela ne changera pas à l'avenir, car les validations étendues nécessaires pour les certificats OV ou EV ne peuvent pas être automatisées et coûtent en outre de l'argent. Or, c'est justement l'automatisation qui rend les certificats Let's Encrypt gratuits. Les validations étendues sont donc actuellement difficiles à concilier avec l'idée de base de Let's Encrypt, même si les premières idées ont été émises sur la manière dont la validation pourrait par exemple être externalisée dans la communauté. Mais à notre connaissance, les projets d'introduction de validations étendues n'ont pas été poursuivis jusqu'à présent.

Les certificats ne sont certes pas difficiles à intégrer pour les professionnels, mais pour les non-initiés ou les personnes n'ayant qu'un accès limité à leur serveur web, cela peut prendre inutilement beaucoup de temps d'adapter la configuration du serveur pour le certbot, de commander les certificats, de les intégrer et de les renouveler régulièrement. En particulier, la durée de validité d'un certificat SSL Let's Encrypt est nettement plus courte que celle d'un certificat "normal". Les certificats Let's Encrypt doivent être renouvelés tous les 90 jours. En revanche, un certificat SSL classique est valable pendant 12, 24 ou même 36 mois et ne nécessite généralement pas de maintenance technique pendant cette période.

En cas de problème, on est en outre complètement livré à soi-même et on ne peut pas faire appel aux services d'assistance de Let's Encrypt. Il existe toutefois un vaste forum d'assistance de la communauté. Au début, la compatibilité des certificats SSL gratuits avec différents navigateurs posait également problème. Mais entre-temps, tous les grands navigateurs peuvent gérer les certificats. Les seuls problèmes qui subsistent concernent les logiciels obsolètes.

Si l'on ne dispose pas des compétences nécessaires, l'intégration d'un certificat par ses propres moyens, y compris les tests, la recherche et la correction des erreurs, peut donc s'avérer nettement plus coûteuse que l'achat d'un certificat SSL. Mais cela aussi est devenu un problème plutôt théorique. En effet, de nombreux hébergeurs soutiennent soit une simple installation en un clic des certificats, soit proposent gratuitement des certificats de base d'autres autorités de certification.

Conclusion : Let's Encrypt a un objectif noble qui doit être soutenu

Let's Encrypt veut, selon ses propres dires, rendre l'Internet plus sûr et plus rapide, et ce surtout pour les utilisateurs qui n'avaient jusqu'à présent pas accès aux certificats SSL. Pour les exploitants de sites Web professionnels, Let's Encrypt présente surtout un avantage en termes de coûts, de confiance et de référencement, même si ce n'est que pour les validations de domaines. On peut douter que des validations étendues soient proposées dans un avenir proche - à condition que le problème de l'automatisation ne puisse pas être résolu.

L'utilisation des certificats n'assure toutefois pas seulement un cryptage gratuit - et, pour certains, une compréhension plus approfondie de la sécurité sur Internet - mais soutient aussi indirectement la bonne cause derrière Let's Encrypt. Nous avons intégré Let's Encrypt avant tout parce que nous croyons en l'utilité du projet. En effet, les certificats sont certes gratuits, mais leur utilisation n'est pas gratuite, et nous espérons qu'elle contribuera à l'établissement d'un nouveau standard de sécurité sur Internet.

Tes questions sur Let's Encrypt

Si tu as encore des questions sur Let's Encrypt, consulte notre article de synthèse dans lequel nous avons rassemblé de nombreuses informations importantes sur les certificats gratuits. Tu peux aussi poster ta question en tant que commentaire sous cet article.

Image de l'article : Unsplash

As-tu aimé cet article ?

Tes évaluations nous permettent d'améliorer encore plus notre contenu.

Laisse un commentaire

Ton adresse e-mail ne sera pas publiée.