Let's Encrypt : un million de certificats, un changement de nom à venir et OVH en embuscade

Let’s Encrypt : un million de certificats, un changement de nom à venir et OVH en embuscade

La France en bonne place

Avatar de l'auteur

David Legrand

Publié dansInternet

14/03/2016
42
Let's Encrypt : un million de certificats, un changement de nom à venir et OVH en embuscade

Trois mois après le début de la bêta publique, Let's Encrypt fête son premier million de certificats distribués. L'occasion d'un premier bilan et de quelques annonces, de la part de l'ISRG ou de ses différents partenaires.

En bêta publique depuis maintenant quelques mois, Let's Encrypt permet à n'importe qui de créer simplement un certificat SSL/TLS. Chacun peut ainsi en quelques manipulations en rajouter un au site qu'il héberge. Cela passe par le client officiel, mais aussi par d'autres solutions qui utilisent le protocole créé pour l'occasion : ACME (voir notre analyse).

Let's Encrypt déploie ses ailes, notamment en France

Ainsi, de nombreuses sociétés ont déjà mis en place une telle solution, c'est notamment le cas de certains hébergeurs, de Synology à travers son DSM 6.0 ou encore de la Freebox Révolution. Résultat, plus d'un million de certificats ont déjà été distribués et mis en place. Le cap a été dépassé la semaine dernière, comme on peut le voir sur la page dédiée aux statistiques du projet.

Selon le billet d'annonce de l'EFF, cela concerne 2,5 millions de domaines, dont 90 % n'était jusqu'à lors pas accessible via HTTPS. Pour le moment, rare sont ceux qui ont été révoqués puisqu'il est question d'un peu plus de 10 000, soit 0,9 % environ. Après le .com qui occupe le quart des résultats, le .fr est le domaine le plus souvent utilisé (9,55 %) avant le .de (8,82 %), .net (7,2 %), .org (6,08 %) et .ch (2,57 %).

Let's Encrypt Clients

Si la France est si présente, cela est sans doute en partie dû à l'intégration de la Freebox. En effet, malgré une multitude d'implémentations accessibles, c'est ce client qui a été le plus utilisé (6,9 % et plus de 60 000 certificats) après le client « officiel » (55,2 % et près de 500 000 certificats).

Le support arrive (enfin) chez OVH

OVH pourrait d'ailleurs renforcer cette tendance. L'hébergeur, qui est en retrait par rapport à ses concurrents comme Gandi et Infomaniak, a en effet choisi de retarder son intégration de Let's Encrypt. Elle nous avait été annoncée pour janvier, les forums officiels faisaient ensuite état d'une arrivée sous peu, et aux dernières nouvelles plus aucune date n'était prévue.

Mais sur Twitter, le fondateur et directeur technique de la société, Octave Klaba, a profité de l'annonce du millionième certificat pour promettre une mise en ligne d'ici la fin mars, ou le début du mois d'avril. A la clef selon lui, un million de certificats supplémentaires :

L'EFF et l'ISRG mettent quelques détails au clair

Au-delà de l'évolution du chiffre, c'est l'évolution même de Let's Encrypt qui va maintenant être dans tous les esprits. Cela passera par une première étape qui était bien nécessaire : un éclaircissement dans les dénominations et l'hébergement.

En effet, tout le monde utilise le terme Let's Encrypt de manière assez générique alors qu'il s'agit du nom de l'autorité de certification proposée par l'Internet Security Research Group (ISRG). Comme nous l'avions déjà évoqué, elle se base sur un protocole proposé à l'IETF, ACME, et une implémentation de ce protocole en Go, Boulder. Le client majoritairement utilisé est, lui, proposé par l'EFF et utilise Python.

Ainsi, en avril, ce client de l'EFF sera uniquement hébergé par la fondation et les clients de manière générale changeront de nom afin de mieux se démarquer de l'autorité de certification. D'autres peuvent en effet créer la leur et interagir avec ces clients en se basant sur le protocole ACME et donc proposer un service proche de Let's Encrypt, de manière différenciée.

« Nous pensons qu'il serait mieux pour Let's Encrypt de se focaliser sur la promotion d'un écosystème client/protocole sain et pour le client de se déplacer vers l'EFF. Cela nous permettra aussi de focaliser l'effort de nos équipes sur la construction d'une architecture fiable et en croissance forte pour notre activité de CA » a ainsi précisé Josh Aas, directeur exécutif de l'ISRG. 

Le client de l'EFF va continuer son évolution pour rester le plus utilisé

De son côté, l'EFF va donc continuer à faire évoluer son client, dont le nouveau nom reste à définir. La fondation espère ainsi que ce sera toujours une référence pour Let's Encrypt et promet de nombreuses nouveautés dans les semaines qui viennent. Les versions 0.5.0 et 0.6.0 vont ainsi se focaliser sur la mise en place d'un renouvellement automatisé et le support de Nginx à travers la première version d'un plugin dédié.

Sur un plus long terme, des éléments largement demandés devraient arriver comme la détection de vulnérabilités dans l'implémentation du certificat, la détection des cas de contenus mixés ou d'un site paré pour le déploiement de HSTS, etc. Mais c'est sans doute à travers la concurrence de la diversité de clients que chacun finira par trouver son bonheur.

Let's Encrypt n'en est qu'à ses débuts et rencontre déjà de très bons résultats, mais l'année qui vient sera cruciale pour son évolution et la propagation de l'accès HTTPS pour une majorité de sites web, qui rencontre encore de fortes réticences de la part des plus gros sites qui résistent encore, malgré les incitations de Google et du fait d'acteurs du secteur publicitaire qui ont du mal à se mettre à la page malgré les recommandations de l'IAB.

42
Avatar de l'auteur

Écrit par David Legrand

Tiens, en parlant de ça :

Nouveautés pour Messenger

Meta lance (enfin) le chiffrement de bout en bout de Messenger, entre autres

ME2EEssenger

08:43 Socials 0

Windows en 2024 : beaucoup d’IA, mais pas forcément un « 12 »

Technique contre marketing

17:36 Soft 8
Einstein avec des qubits en arrière plan

Informatique quantique, qubits : avez-vous les bases ?

Q-Doliprane sur demande

16:10 HardScience 8

Sommaire de l'article

Introduction

Let's Encrypt déploie ses ailes, notamment en France

Le support arrive (enfin) chez OVH

L'EFF et l'ISRG mettent quelques détails au clair

Le client de l'EFF va continuer son évolution pour rester le plus utilisé

Nouveautés pour Messenger

Meta lance (enfin) le chiffrement de bout en bout de Messenger, entre autres

Socials 0

#LeBrief : cloud européen, OSIRIS-REx a frôlée la catastrophe, CPU AMD Ryzen 8040

Windows en 2024 : beaucoup d’IA, mais pas forcément un « 12 »

Soft 8
Einstein avec des qubits en arrière plan

Informatique quantique, qubits : avez-vous les bases ?

HardScience 8
Notifications iPhone

Surveillance des notifications : un sénateur américain demande la fin du secret

DroitSécu 13

En ligne, les promos foireuses restent d’actualité

DroitWeb 17

#LeBrief : modalité des amendes RGPD, cyberattaque agricole, hallucinations d’Amazon Q, 25 ans d’ISS

Logo Twitch

Citant des « coûts prohibitifs », Twitch quitte la Corée du Sud

ÉcoWeb 28
Formation aux cryptomonnaies par Binance à Pôle Emploi

Binance fait son marketing pendant des formations sur la blockchain destinées aux chômeurs

Éco 9
Consommation électrique du CERN

L’empreinte écologique CERN en 2022 : 1 215 GWh, 184 173 teqCO₂, 3 234 Ml…

Science 6
station électrique pour voitures

Voitures électriques : dans la jungle, terrible jungle, des bornes de recharge publiques

Société 73

#LeBrief : intelligence artificielle à tous les étages, fichier biométrique EURODAC

KDE Plasma 6

KDE Plasma 6 a sa première bêta, le tour des nouveautés

Soft 13
Un homme noir regarde la caméra. Sur son visage, des traits blancs suggèrent un traitement algorithmique.

AI Act et reconnaissance faciale : la France interpelée par 45 eurodéputés

DroitSociété 4
Api

La CNIL préconise l’utilisation des API pour le partage de données personnelles entre organismes

SécuSociété 3
Fouet de l’Arcep avec de la fibre

Orange sanctionnée sur la fibre : l’argumentaire de l’opérateur démonté par l’Arcep

DroitWeb 22
Bombes

Israël – Hamas : comment l’IA intensifie les attaques contre Gaza

IA 22

#LeBrief : bande-annonce GTA VI, guerre électronique, Spotify licencie massivement

Poing Dev

Le poing Dev – Round 7

Next 99
Logo de Gaia-X sour la forme d’un arbre, avec la légende : infrastructure de données en forme de réseau

Gaia-X « vit toujours » et « arrive à des étapes très concrètes »

WebSécu 6

Trois consoles portables en quelques semaines

Hard 37
Une tasse estampillée "Keep calm and carry on teaching"

Cyberrésilience : les compromis (provisoires) du trilogue européen

DroitSécu 3

#LeBrief : fuite de tests ADN 23andMe, le milliard pour Android Messages, il y a 30 ans Hubble voyait clair

#Flock a sa propre vision de l’inclusion

Flock 25
Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #10 : nous contacter et résumé de la semaine

44
Fairphone 5 démonté par iFixit

Sans surprise, le Fairphone 5 obtient 10/10 chez iFixit

Hard 0

WhatsApp vocaux à vue/écoute unique

WhatsApp permet d’envoyer des vocaux à écoute unique

Soft 4

Logo de Google sur un ordinateur portable

Google propose un correctif aux disparitions mystérieuses sur Drive

Soft 0

Puce AMD Instinct

IA : AMD annonce la disponibilité des accélérateurs Instinct MI300A et MI300X

Hard 0

Un œil symbolisant l'Union européenne, et les dissensions et problèmes afférents

Cloud : 1,2 milliard d’euros pour un Projet important d’intérêt européen commun

Web 5

Sonde OSIRIS-REx de la NASA lors du retour de la capsule des échantillons sur Terre

Échantillons d’OSIRIS-REx : la NASA a frôlé la catastrophe

Science 9

CPU AMD Ryzen avec NPU pour l’IA

Ryzen 8040 : AMD lance de nouveaux CPU mobiles (Zen 4, RDNA 3, NPU)

Hard 0

Commentaires (42)


Dryusdan
Hier à 14h32

ça c’est une bonne nouvelle du coté d’OVH, et surtout des utilisateurs finaux. Déjà que Let’s encrypt était une bonne idée, mais avec de tel acteur, juste génial <img data-src=" />


David_L Abonné
Hier à 14h34

Comme dit c’était annoncé depuis un moment :)


gjdass Abonné
Hier à 14h36

C’est une excellente nouvelle. Cela pousse tout le monde (moi compris, je viens de couvrir mes 3 domaines en full HTTPS forcé) à se mettre au SSL, et ça nous fera pas de mal, loin de là :)

Ça rend la chose accessible.


Torlik Abonné
Hier à 14h39

C’est bien et NXI n’est toujours pas en https ……..


Minikea
Hier à 14h41

pourtant, si. par COMODO via cloudflare.


gjdass Abonné
Hier à 14h41

Il y a eu plusieurs articles à ce sujet, et si je me souviens bien c’est en test chez les abonnés (je suis en HTTPS là), pour être à terme déployé partout. Corrigez si je me trompe.


David_L Abonné
Hier à 14h42

Si :)&nbsp;


David_L Abonné
Hier à 14h43

Déjà le cas pour les abonnés, la migration complète prend un peu plus de temps que prévu, mais c’est déjà déployé sur la version mobile par exemple ;)


Mem's Abonné
Hier à 14h47
David_L Abonné
Hier à 14h52

Ou comme pour&nbsp;Automatic Certificate Management Environment &nbsp;;)


brazomyna
Hier à 14h54

Klaba qui fait le fanfaron alors qu’il a trainé des pieds pour ne pas concurrencer frontalementsa petite vache à lait.
&nbsp;
&nbsp;


David_L Abonné
Hier à 14h56

Tu entends quoi par là, vu qu’ils sont quand même sponsors Platinum et depuis un moment (l’implémentation est longue, mais ça n’est pas toujours aussi simple que de rajouter 2 lignes de code, le cas de Gandi l’a bien montré).


brazomyna
Hier à 15h00






David_L a écrit :

Tu entends quoi par là, vu qu’ils sont quand même sponsors Platinum et depuis un moment



Dec 21, 2015 • Josh Aas, ISRG Executive Director



 We’re pleased to announce that [OVH](https://www.ovh.com/) has become a Platinum sponsor of Let’s Encrypt.    



source: https://letsencrypt.org/2015/12/21/ovh-sponsorship.html



Minikea
Hier à 15h10

sachant que l’ouverture aux sponsors date d’Octobre 2015, et qu’ils sont un des rares en Platinium…
après ce n’est qu’un certificat qui prouve que tu as la main sur un serveur web, en aucun cas ça ne vérifie ton identité ou quoique ce soit d’autre, ce que peut faire un certificat payant.


David_L Abonné
Hier à 15h15

Oui mais ça ne répond pas vraiment à la question. Je ne vois pas en quoi ça permet de dire qu’ils traînent des pieds. Pas mal sont arrivés au moment de la bêta publique et à un niveau de sponsoring inférieur. Le fait que l’implémentation ait été plus rapide chez d’autres ne suffit pas à l’exprimer de la sorte…&nbsp;


David_L Abonné
Hier à 15h16

Ce n’est pas parce qu’un certificat est payant qu’il assure quoi que ce soit (excepté les EV), comme indiqué dans un précédent papier.&nbsp;


Exception
Hier à 15h20






David_L a écrit :

Si :)&nbsp;


NXI a choisi Let’s Encrypt pour son certificat ? Les Français veulent savoir.



Minikea
Hier à 15h25

en effet mais si tu veux qu’un organisme de certification s’assure de ton identité et de ton niveau d’implication, etc, il faut passer à la caisse (assurances, frais de dossiers…)


David_L Abonné
Hier à 15h29

Non :)
&nbsp;




Minikea a écrit :

en effet mais si tu veux qu’un organisme de certification s’assure de ton identité et de ton niveau d’implication, etc, il faut passer à la caisse (assurances, frais de dossiers…)


Logique non ? (Mais une fois de plus, un certificat ne propose pas forcément ça et rien ne le garantit)



Jeanprofite
Hier à 15h50

Être sponsor Platinum permet de se faire une bonne image.
&nbsp;
Il me semble que retarder l’implémentation de Let’s Encrypt, permet de continuer à engranger des abonnements de 50€ à l’année. Ce qui peut être considérer comme «sa petite vache à lait».
&nbsp;
Il lui faudra supporter Let’s Encrypt, car le refuser ferait fuir les clients autant contribuer mais adopter le plus tard possible…
&nbsp;


David_L Abonné
Hier à 16h00

Oui enfin on parle d’un truc en bêta publique depuis trois mois. Si pour vous prendre du temps à implémenter la solution = forcément retarder pour se faire du fric (sans apporter la moindre preuve), soit. M’enfin ça reste du troll plutôt qu’autre chose (ou alors proposez vos talents de roi de l’IT aux hébergeurs ;))


Jeanprofite
Hier à 16h13

J’ ai cru comprendre que c’était bon pour Gandi depuis début janvier.
Troll contre angélisme ?


David_L Abonné
Hier à 16h20

Oui enfin Gandi ça reste tout de même une intégration assez brute et franchement pas pensée pour le grand public. OVH peut très bien avoir décidé de faire quelque chose de plus abouti, on reste dans des délais raisonnable et rien ne permet de dire que c’est une “volonté de”.

On peut très bien critiquer les certificats SSL à 50 euros d’OVH (quoi que jusqu’à preuve du contraire les tarifs sont libres en France) sans forcément leur tirer dessus alors qu’ils sont l’un des plus gros sponsors de LE et qu’ils ont clairement indiqué dès le départ qu’ils voulaient intégrer une procédure pour leurs clients.&nbsp;

Après on peut trouver que cela ne va pas assez vite ou reprocher le timing donné au départ qui n’a pas été respecté. Mais si tout était si simple que de publier des commentaires, la vie serait plus facile pour tout le monde ;)


Jeanprofite
Hier à 16h30

Pour en revenir à l’article, a-t-on une date de sortie de phase bêta pour Let’s Encrypt ?
Le lien «a ainsi précisé Josh Aas», parle de Roadmap mais n’en présente pas.

P.S : Si les tarifs sont libre en France, le jour ou Nextinpact décrétera qu’il faut payer 80€ pour être abonné, je ne le serai plus ;-)


Zergy
Hier à 16h40

Je rete chez CACert, en attendant que Let’s Encrypt puisse être plus facilement utilisable pour autre chose que du HTTP/HTTPS.


David_L Abonné
Hier à 16h41

Oui, mais le prix est la rencontre d’une offre et d’une demande ;)&nbsp;

Pour le reste, il n’y a aucune info sur la sortie de bêta pour le moment de ce que j’ai vu, mais bon on reste encore assez proche du lancement et ils vont sans doute se concentrer là dessus (une fois les changements opérés en avril)&nbsp;


anonyme_447570885b66ca42145fd71079a75237
Hier à 17h22

Prochaine étape j’espère : Renouvellement des certificats via HTTPS. Pour l’instant mes configs Apache gardent une entrée HTTP juste pour ça.


Nit
Hier à 17h58
jinge
Hier à 19h08

Moi j’ai pas réussi à avoir mon certificat… Le process n’a jamais aboutit…


Jeanprofite
Hier à 19h58

Merci.
On peut supposer une version «aboutit» pour septembre alors.


nono29 Abonné
Hier à 20h30

Vous avez oublié Online.net dans votre article.
&nbsp;Ça fait 10 jours qu’ils ont activé les certificats Let’s Encrypt sur tous les hébergements mutualisé :
&nbsp;https://twitter.com/online_fr/status/705798518636728320


Exception
Hier à 04h01






David_L a écrit :

Oui, mais le prix est la rencontre d’une offre et d’une demande ;)&nbsp;

&nbsp;

Non, ce que fait OVH est de la vente liée.
En d’autres temps, certains râlaient sur les magasins qui vendaient des ordinateurs sans laisser le choix de prendre autre chose que Windows.
Eh bien là c’est pareil, sur les serveurs mutualisés OVH, on a pas la possibilité de prendre un certificat ailleurs que celui d’OVH à 60 €/an TTC.
Donc seul moyen de s’en sortir, prendre un autre hébergeur.
Donc, vente liée.



Keats`
Hier à 11h47

Simple question : Je ne comprends pas ce qu’apporte le “support” OVH. C’est pour du mutualisé ? Parce que sur un serveur dédié ça marche très bien quel que soit l’hébergeur. Perso je suis passé à letsencrypt sur ma dedibox et ça m’a pris 2 minutes (parce que j’utilise apache, sinon c’est un poil plus long).
Désolé si ça a déjà été expliqué mais je vois pas <img data-src=" />

Vraiment top letsencrypt.


Nit
Hier à 11h59






Keats` a écrit :

Simple question : Je ne comprends pas ce qu’apporte le “support” OVH. C’est pour du mutualisé ?


oui



Torlik Abonné
Hier à 13h03






David_L a écrit :

Si :)&nbsp;


pour les abonnés. Je ne suis plus abonné, j’ai tout de même mon compte sur lequel je m’authent en clair.



Gatchan
Hier à 14h59

Une question (ou suggestion) pour NXI : serait-il possible de faire un article pour les abonnés, résumant à quoi servent les certificats, comment ils sont émis, mis en oeuvre, à qui ils s’adressent… et pourquoi Let’s Encrypt fait beaucoup parler de lui.
Je ne suis pas du tout expert dans ce domaine, mais j’aimerai bien une synthèse de tout ça, pour comprendre les enjeux.

C’est possible ?


David_L Abonné
Hier à 22h28

Non ce n’est pas un oubli, ce n’était pas le sujet de l’article. Pour le reste, chaque chose en son temps ;) (PS : et si on veut proposer une info à la rédac, le formulaire est 100x plus utile qu’un commentaire du genre)


David_L Abonné
Hier à 22h28

C’est déjà en bonne partie le cas, et le lien est dans l’article :)


David_L Abonné
Hier à 22h29

Voir mes autres réponses et nos différentes annonces sur le sujet.


brazomyna
Hier à 20h02






David_L a écrit :

Oui enfin on parle d’un truc en bêta publique depuis trois mois. Si pour vous prendre du temps à implémenter la solution = forcément retarder pour se faire du fric (sans apporter la moindre preuve), soit. M’enfin ça reste du troll plutôt qu’autre chose (ou alors proposez vos talents de roi de l’IT aux hébergeurs ;))


Ah bon, les certificats et l’HTTPS ça existe depuis trois mois ?
Les coûts de délivrance d’un certificat se sont effondrés du jour au lendemain ?
&nbsp;
Non.
&nbsp;
Ca fait des DECENNIES qu’OVH (et d’autres) a l’ensemble de la chaine fonctionnelle en prod pour proposer des certificats pour une bouchée de pain, comme le fait maintenant LetsEncrypt. OVH a même infiniment plus d’infos sur leurs clients que ne l’aura jamais LetsEncrypt.

Ca fait des DECENNIES qu’ils font surpayer un service sans le moindre rapport avec le coût réel.

Tu ne peux pas en même temps pleurer les lenteurs de le généralisation du HTTPS (au hasard chez les régies de pub qui ont empêché PCI de passer simplement à l’HTTPS ^^) et dans le même temps louer la fôôrmidable réactivité d’OVH pour faire le fanfaron. A un moment faut être cohérent.
&nbsp;

David_L a écrit :

Oui, mais le prix est la rencontre d’une offre et d’une demande ;)&nbsp;


Ce n’est qu’une simplification naïve, du niveau des “bons ptits dictons de madame Michu” ; c’est à peu près valable sur un marché concurrentiel, avec une barrière à l’entrée faible, permettant l’implantation facile de nouveaux concurrent. Ce n’est absolument pas le cas de figure ici, parce qu’on ne délivre pas des certificats signés par un root depuis le fond de son garage.



David_L Abonné
Hier à 08h07

Je ne loue rien, je ne parle pas non plus des pratiques commerciales autour des certificats qui ont été détestables chez tout le monde. On a encore évoqué récemment des alternatives antérieures à LE, gratuites, et ce qu’apporte réellement un certificat.

Je dis juste qu’OVH est un acteur de poids qui s’est engagé assez rapidement dans LE, et a rapidement annoncé que ce serait proposé à tous les clients mutu. Certes ce n’est pas encore en place, comme je dis, mettre en place de tels dispositifs de manière fiable dans une infrastructure importante ne se fait pas en un claquement de doigt.

Mais cela montre bien que les choses changent, et on ne peut pas leur reprocher de s’être opposé activement à ce changement (ce que tu fais), puisque ce n’est pas le cas.

Pour le reste, la comparaison avec le manque d’adaptation à HTTPS des acteurs de la pub est un peu bancale, vu que les problématiques n’ont strictement rien à voir…


brazomyna
Hier à 11h46






David_L a écrit :

Mais cela montre bien que les choses changent, et on ne peut pas leur reprocher de s’être opposé activement à ce changement (ce que tu fais), puisque ce n’est pas le cas.

Je ne leur reproche pas de s’être opposé activement à LE, je leur reproche d’avoir joué le status quo pendant 10 ans pour conserver leurs petits intérêts, et de venir jouer les bon élèves maintenant.

&nbsp;



David_L a écrit :

Pour le reste, la comparaison avec le manque d’adaptation à HTTPS des acteurs de la pub est un peu bancale, vu que les problématiques n’ont strictement rien à voir…


Elles ont à voir, car le manque d’adaptation des régies a pour origine l’absence de masse critique pour que ce soit économiquement envisageable. Si le HTTPS s’était généralisé plus tôt, il est évident que cette masse critique existerait depuis belle lurette et que le problème n’en serait plus un à l’heure actuelle.
&nbsp;