Portée notamment par Mozilla, Cisco et Facebook, l'autorité de certification Let's Encrypt a de bons arguments pour que les sites web adoptent massivement le protocole HTTPS pour chiffrer les communications.

Lors de vos balades sur le web, vous avez sûrement remarqué que certains sites commencent par HTTP, quand d’autres commencent par HTTPS (et si ça n’est pas le cas on vous suggère de lire ça). Ce S, qui signifie « Secure » n’est pas là que pour faire joli : il s’agit d’une part de la reconnaissance que le site que vous visitez est bien celui que vous visitez grâce à un certificat décerné par un tiers, d’autre part que les données transmises seront confidentielles. A priori, que du positif pour l’utilisateur.

Si vous êtes un éditeur de site web, en revanche, vous savez que ce n’est pas aussi simple. D’abord, parce que ces certificats ne sont pas gratuits : ils sont vendus par des organismes « tiers de confiance ». Ensuite, parce que ce n’est souvent pas une installation à la portée du premier venu : si vous hébergez un site perso, votre profil ou une communauté sans avoir de connaissances particulières en administration serveur, vous allez vite vous décourager.

Et même si vous avez les compétences, un certificat HTTPS, c’est une maintenance à ajouter à la liste des choses à surveiller pour garder un site en bonne santé. Enfin, sur le plan éthique, certains ne voient pas d’un bon œil le fait que des entreprises privées soient les seules habilitées à décerner des certificats HTTPS, ce qui peut amener à des situations de censure problématiques.

Capture d’écran 2015-12-04 à 16.22.53

Let’s encrypt : la solution ?

Ce sont toutes ces raisons qui ont amené à la création de Let’s Encrypt, une nouvelle autorité qui peut attribuer des certificats HTTPS et qui entend développer l’adoption du protocole HTTPS en simplifiant son intégration. Let’s Encrypt est gratuit, ouvert, transparent, sécurisé, soutenu et maintenu par une communauté, et porté par des grands noms du web. Mozilla, Facebook, Cisco, Automattic, ou l’Electronic Frontier Foundation (EFF) ont tous participé à la concrétisation de ce projet.

Aujourd’hui, Let’s Encrypt vient d’entrer en bêta publique et vous pouvez faire partie des premiers utilisateurs de ces nouveaux certificats en suivant la procédure indiquée ici. Évidemment, comme il s’agit d’une bêta, il faut s’attendre à ce qu’il y ait des bugs jusqu’à la sortie de la version finale du produit. Mais déjà des voix s’élèvent contre l’initiative : le consultant en sécurité Alexander Hanff estime par exemple qu’une autorité de certification centralisée est une cible particulièrement intéressante pour d’éventuels pirates.

HTTPS://www.numerama.com ?

Anticipant déjà vos légitimes questionnements, nous avons demandé à Baptiste Michaud, CTO du groupe Humanoid (auquel appartient Numerama), ce qu’il pensait de l’initiative. Pour lui, Let’s Encrypt est un service « fédérateur » qui permet de pallier les lacunes actuelles de la norme, notamment le fait que les autorités qui ont le droit d’attribuer les certificats sont des entreprises privées qui peuvent avoir des intérêts. La force de Let’s Encrypt, c’est d’avoir réussi à convaincre des géants de le soutenir pour lui assurer une bonne réputation et un soutien financier essentiel pour le maintenir dans la durée.

Le HTTPS est une fonctionnalité que nous aimerions voir sur Numerama à court terme

Pour Humanoid, Let’s Encrypt n’est pas une nouveauté. « C’est une initiative que nous avons suivie depuis le début. Nous l’avons testée dans ses différentes phases, et nous trouvons maintenant le projet particulièrement mature,  nous raconte Baptiste. Le HTTPS est une fonctionnalité que nous aimerions voir sur Numerama à court terme, mais nous réfléchissons encore à la façon de proposer cette technologie. 

En effet, lorsqu’une page est chargée en HTTPS, tous ses éléments doivent l’être aussi : scripts liées aux publicités, images, etc. Les réseaux de publicités dont le site dépend pour assurer sa rentabilité ne sont pas encore tous totalement opérationnels sur ce plan, mais elles y travaillent. Il reste un peu de chemin à faire pour rendre Numerama totalement accessible en chiffré  ».

Un chantier qui s’inscrit dans les objectifs 2016 de Numerama et dont nous vous reparlerons dès janvier !

Partager sur les réseaux sociaux

Articles liés