Let’s Encrypt : un million de certificats, un changement de nom à venir et OVH en embuscade
La France en bonne place
Trois mois après le début de la bêta publique, Let's Encrypt fête son premier million de certificats distribués. L'occasion d'un premier bilan et de quelques annonces, de la part de l'ISRG ou de ses différents partenaires.
En bêta publique depuis maintenant quelques mois, Let's Encrypt permet à n'importe qui de créer simplement un certificat SSL/TLS. Chacun peut ainsi en quelques manipulations en rajouter un au site qu'il héberge. Cela passe par le client officiel, mais aussi par d'autres solutions qui utilisent le protocole créé pour l'occasion : ACME (voir notre analyse).
Let's Encrypt déploie ses ailes, notamment en France
Ainsi, de nombreuses sociétés ont déjà mis en place une telle solution, c'est notamment le cas de certains hébergeurs, de Synology à travers son DSM 6.0 ou encore de la Freebox Révolution. Résultat, plus d'un million de certificats ont déjà été distribués et mis en place. Le cap a été dépassé la semaine dernière, comme on peut le voir sur la page dédiée aux statistiques du projet.
Selon le billet d'annonce de l'EFF, cela concerne 2,5 millions de domaines, dont 90 % n'était jusqu'à lors pas accessible via HTTPS. Pour le moment, rare sont ceux qui ont été révoqués puisqu'il est question d'un peu plus de 10 000, soit 0,9 % environ. Après le .com qui occupe le quart des résultats, le .fr est le domaine le plus souvent utilisé (9,55 %) avant le .de (8,82 %), .net (7,2 %), .org (6,08 %) et .ch (2,57 %).
Si la France est si présente, cela est sans doute en partie dû à l'intégration de la Freebox. En effet, malgré une multitude d'implémentations accessibles, c'est ce client qui a été le plus utilisé (6,9 % et plus de 60 000 certificats) après le client « officiel » (55,2 % et près de 500 000 certificats).
Le support arrive (enfin) chez OVH
OVH pourrait d'ailleurs renforcer cette tendance. L'hébergeur, qui est en retrait par rapport à ses concurrents comme Gandi et Infomaniak, a en effet choisi de retarder son intégration de Let's Encrypt. Elle nous avait été annoncée pour janvier, les forums officiels faisaient ensuite état d'une arrivée sous peu, et aux dernières nouvelles plus aucune date n'était prévue.
Mais sur Twitter, le fondateur et directeur technique de la société, Octave Klaba, a profité de l'annonce du millionième certificat pour promettre une mise en ligne d'ici la fin mars, ou le début du mois d'avril. A la clef selon lui, un million de certificats supplémentaires :
Add >1M certificates in 3 - 4 weeks :) https://t.co/megLemrcNr
— Octave Klaba / Oles (@olesovhcom) 8 mars 2016
L'EFF et l'ISRG mettent quelques détails au clair
Au-delà de l'évolution du chiffre, c'est l'évolution même de Let's Encrypt qui va maintenant être dans tous les esprits. Cela passera par une première étape qui était bien nécessaire : un éclaircissement dans les dénominations et l'hébergement.
En effet, tout le monde utilise le terme Let's Encrypt de manière assez générique alors qu'il s'agit du nom de l'autorité de certification proposée par l'Internet Security Research Group (ISRG). Comme nous l'avions déjà évoqué, elle se base sur un protocole proposé à l'IETF, ACME, et une implémentation de ce protocole en Go, Boulder. Le client majoritairement utilisé est, lui, proposé par l'EFF et utilise Python.
Ainsi, en avril, ce client de l'EFF sera uniquement hébergé par la fondation et les clients de manière générale changeront de nom afin de mieux se démarquer de l'autorité de certification. D'autres peuvent en effet créer la leur et interagir avec ces clients en se basant sur le protocole ACME et donc proposer un service proche de Let's Encrypt, de manière différenciée.
« Nous pensons qu'il serait mieux pour Let's Encrypt de se focaliser sur la promotion d'un écosystème client/protocole sain et pour le client de se déplacer vers l'EFF. Cela nous permettra aussi de focaliser l'effort de nos équipes sur la construction d'une architecture fiable et en croissance forte pour notre activité de CA » a ainsi précisé Josh Aas, directeur exécutif de l'ISRG.
Le client de l'EFF va continuer son évolution pour rester le plus utilisé
De son côté, l'EFF va donc continuer à faire évoluer son client, dont le nouveau nom reste à définir. La fondation espère ainsi que ce sera toujours une référence pour Let's Encrypt et promet de nombreuses nouveautés dans les semaines qui viennent. Les versions 0.5.0 et 0.6.0 vont ainsi se focaliser sur la mise en place d'un renouvellement automatisé et le support de Nginx à travers la première version d'un plugin dédié.
Sur un plus long terme, des éléments largement demandés devraient arriver comme la détection de vulnérabilités dans l'implémentation du certificat, la détection des cas de contenus mixés ou d'un site paré pour le déploiement de HSTS, etc. Mais c'est sans doute à travers la concurrence de la diversité de clients que chacun finira par trouver son bonheur.
Let's Encrypt n'en est qu'à ses débuts et rencontre déjà de très bons résultats, mais l'année qui vient sera cruciale pour son évolution et la propagation de l'accès HTTPS pour une majorité de sites web, qui rencontre encore de fortes réticences de la part des plus gros sites qui résistent encore, malgré les incitations de Google et du fait d'acteurs du secteur publicitaire qui ont du mal à se mettre à la page malgré les recommandations de l'IAB.
Commentaires (42)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 14/03/2016 à 15h50
Être sponsor Platinum permet de se faire une bonne image.
Il me semble que retarder l’implémentation de Let’s Encrypt, permet de continuer à engranger des abonnements de 50€ à l’année. Ce qui peut être considérer comme «sa petite vache à lait».
Il lui faudra supporter Let’s Encrypt, car le refuser ferait fuir les clients autant contribuer mais adopter le plus tard possible…
Le 14/03/2016 à 16h00
Oui enfin on parle d’un truc en bêta publique depuis trois mois. Si pour vous prendre du temps à implémenter la solution = forcément retarder pour se faire du fric (sans apporter la moindre preuve), soit. M’enfin ça reste du troll plutôt qu’autre chose (ou alors proposez vos talents de roi de l’IT aux hébergeurs ;))
Le 14/03/2016 à 16h13
J’ ai cru comprendre que c’était bon pour Gandi depuis début janvier.
Troll contre angélisme ?
Le 14/03/2016 à 16h20
Oui enfin Gandi ça reste tout de même une intégration assez brute et franchement pas pensée pour le grand public. OVH peut très bien avoir décidé de faire quelque chose de plus abouti, on reste dans des délais raisonnable et rien ne permet de dire que c’est une “volonté de”.
On peut très bien critiquer les certificats SSL à 50 euros d’OVH (quoi que jusqu’à preuve du contraire les tarifs sont libres en France) sans forcément leur tirer dessus alors qu’ils sont l’un des plus gros sponsors de LE et qu’ils ont clairement indiqué dès le départ qu’ils voulaient intégrer une procédure pour leurs clients.
Après on peut trouver que cela ne va pas assez vite ou reprocher le timing donné au départ qui n’a pas été respecté. Mais si tout était si simple que de publier des commentaires, la vie serait plus facile pour tout le monde ;)
Le 14/03/2016 à 16h30
Pour en revenir à l’article, a-t-on une date de sortie de phase bêta pour Let’s Encrypt ?
Le lien «a ainsi précisé Josh Aas», parle de Roadmap mais n’en présente pas.
P.S : Si les tarifs sont libre en France, le jour ou Nextinpact décrétera qu’il faut payer 80€ pour être abonné, je ne le serai plus ;-)
Le 14/03/2016 à 16h40
Je rete chez CACert, en attendant que Let’s Encrypt puisse être plus facilement utilisable pour autre chose que du HTTP/HTTPS.
Le 14/03/2016 à 16h41
Oui, mais le prix est la rencontre d’une offre et d’une demande ;)
Pour le reste, il n’y a aucune info sur la sortie de bêta pour le moment de ce que j’ai vu, mais bon on reste encore assez proche du lancement et ils vont sans doute se concentrer là dessus (une fois les changements opérés en avril)
Le 14/03/2016 à 17h22
Prochaine étape j’espère : Renouvellement des certificats via HTTPS. Pour l’instant mes configs Apache gardent une entrée HTTP juste pour ça.
Le 14/03/2016 à 17h58
Il y a ça https://letsencrypt.org/upcoming-features/
Le 14/03/2016 à 19h08
Moi j’ai pas réussi à avoir mon certificat… Le process n’a jamais aboutit…
Le 14/03/2016 à 19h58
Merci.
On peut supposer une version «aboutit» pour septembre alors.
Le 14/03/2016 à 20h30
Vous avez oublié Online.net dans votre article.
Twitter
Ça fait 10 jours qu’ils ont activé les certificats Let’s Encrypt sur tous les hébergements mutualisé :
Le 15/03/2016 à 04h01
Le 15/03/2016 à 11h47
Simple question : Je ne comprends pas ce qu’apporte le “support” OVH. C’est pour du mutualisé ? Parce que sur un serveur dédié ça marche très bien quel que soit l’hébergeur. Perso je suis passé à letsencrypt sur ma dedibox et ça m’a pris 2 minutes (parce que j’utilise apache, sinon c’est un poil plus long).
" />
Désolé si ça a déjà été expliqué mais je vois pas
Vraiment top letsencrypt.
Le 15/03/2016 à 11h59
Le 15/03/2016 à 13h03
Le 14/03/2016 à 14h32
ça c’est une bonne nouvelle du coté d’OVH, et surtout des utilisateurs finaux. Déjà que Let’s encrypt était une bonne idée, mais avec de tel acteur, juste génial
" />
Le 14/03/2016 à 14h34
Comme dit c’était annoncé depuis un moment :)
Le 14/03/2016 à 14h36
C’est une excellente nouvelle. Cela pousse tout le monde (moi compris, je viens de couvrir mes 3 domaines en full HTTPS forcé) à se mettre au SSL, et ça nous fera pas de mal, loin de là :)
Ça rend la chose accessible.
Le 14/03/2016 à 14h39
C’est bien et NXI n’est toujours pas en https ……..
Le 14/03/2016 à 14h41
pourtant, si. par COMODO via cloudflare.
Le 14/03/2016 à 14h41
Il y a eu plusieurs articles à ce sujet, et si je me souviens bien c’est en test chez les abonnés (je suis en HTTPS là), pour être à terme déployé partout. Corrigez si je me trompe.
Le 14/03/2016 à 14h42
Si :)
Le 14/03/2016 à 14h43
Déjà le cas pour les abonnés, la migration complète prend un peu plus de temps que prévu, mais c’est déjà déployé sur la version mobile par exemple ;)
Le 14/03/2016 à 14h47
ACME comme
Wikipedia?
Le 14/03/2016 à 14h52
Ou comme pour Automatic Certificate Management Environment ;)
Le 14/03/2016 à 14h54
Klaba qui fait le fanfaron alors qu’il a trainé des pieds pour ne pas concurrencer frontalementsa petite vache à lait.
Le 14/03/2016 à 14h56
Tu entends quoi par là, vu qu’ils sont quand même sponsors Platinum et depuis un moment (l’implémentation est longue, mais ça n’est pas toujours aussi simple que de rajouter 2 lignes de code, le cas de Gandi l’a bien montré).
Le 14/03/2016 à 15h00
Le 14/03/2016 à 15h10
sachant que l’ouverture aux sponsors date d’Octobre 2015, et qu’ils sont un des rares en Platinium…
après ce n’est qu’un certificat qui prouve que tu as la main sur un serveur web, en aucun cas ça ne vérifie ton identité ou quoique ce soit d’autre, ce que peut faire un certificat payant.
Le 14/03/2016 à 15h15
Oui mais ça ne répond pas vraiment à la question. Je ne vois pas en quoi ça permet de dire qu’ils traînent des pieds. Pas mal sont arrivés au moment de la bêta publique et à un niveau de sponsoring inférieur. Le fait que l’implémentation ait été plus rapide chez d’autres ne suffit pas à l’exprimer de la sorte…
Le 14/03/2016 à 15h16
Ce n’est pas parce qu’un certificat est payant qu’il assure quoi que ce soit (excepté les EV), comme indiqué dans un précédent papier.
Le 14/03/2016 à 15h20
Le 14/03/2016 à 15h25
en effet mais si tu veux qu’un organisme de certification s’assure de ton identité et de ton niveau d’implication, etc, il faut passer à la caisse (assurances, frais de dossiers…)
Le 14/03/2016 à 15h29
Non :)
Le 15/03/2016 à 14h59
Une question (ou suggestion) pour NXI : serait-il possible de faire un article pour les abonnés, résumant à quoi servent les certificats, comment ils sont émis, mis en oeuvre, à qui ils s’adressent… et pourquoi Let’s Encrypt fait beaucoup parler de lui.
Je ne suis pas du tout expert dans ce domaine, mais j’aimerai bien une synthèse de tout ça, pour comprendre les enjeux.
C’est possible ?
Le 15/03/2016 à 22h28
Non ce n’est pas un oubli, ce n’était pas le sujet de l’article. Pour le reste, chaque chose en son temps ;) (PS : et si on veut proposer une info à la rédac, le formulaire est 100x plus utile qu’un commentaire du genre)
Le 15/03/2016 à 22h28
C’est déjà en bonne partie le cas, et le lien est dans l’article :)
Le 15/03/2016 à 22h29
Voir mes autres réponses et nos différentes annonces sur le sujet.
Le 16/03/2016 à 20h02
Le 17/03/2016 à 08h07
Je ne loue rien, je ne parle pas non plus des pratiques commerciales autour des certificats qui ont été détestables chez tout le monde. On a encore évoqué récemment des alternatives antérieures à LE, gratuites, et ce qu’apporte réellement un certificat.
Je dis juste qu’OVH est un acteur de poids qui s’est engagé assez rapidement dans LE, et a rapidement annoncé que ce serait proposé à tous les clients mutu. Certes ce n’est pas encore en place, comme je dis, mettre en place de tels dispositifs de manière fiable dans une infrastructure importante ne se fait pas en un claquement de doigt.
Mais cela montre bien que les choses changent, et on ne peut pas leur reprocher de s’être opposé activement à ce changement (ce que tu fais), puisque ce n’est pas le cas.
Pour le reste, la comparaison avec le manque d’adaptation à HTTPS des acteurs de la pub est un peu bancale, vu que les problématiques n’ont strictement rien à voir…
Le 17/03/2016 à 11h46