Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Let’s encrypt franchit la barre des 100 millions de certificats actifs

Let's encrypt franchit la barre des 100 millions de certificats actifs

Le 27 mai 2019 à 09h36

Une victoire pour le service qui propose pour rappel des certificats gratuits de sécurité pour les sites ou applications, afin de permettre des échanges chiffrés de données.

Let’s Encrypt a été créé par l'Internet Security Research Group, alliance regroupant l'EFF, Mozilla, Akamai, Cisco et d'autres acteurs, dans l’objectif affiché de faire progresser le HTTPS un peu partout.

Un objectif atteint. On se souvient des statistiques publiées par Google : le trafic HTTPS traité par Chrome est passé de 30 - 40 % à 70 - 80 % en seulement deux ans. Une influence telle que nous évoquions le danger pour Let’s Encrypt de devenir un SPOF.

Sur la page des statistiques de Let’s Encrypt, on peut également voir que Firefox est près des 80 % de trafic HTTPS à l’échelle mondiale. Il semble toutefois que ce score soit une « barrière », car la croissance a ralenti. Les derniers 20 % seront probablement les plus difficiles à convertir.

Le 27 mai 2019 à 09h36

Commentaires (15)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Owi, un tout grand merci à Let’s Encrypt ! <img data-src=" />

votre avatar



Il semble toutefois que ce score soit une « barrière », car la croissance a ralenti. Les derniers 20 % seront probablement les plus difficiles à convertir.





Perso, j’ai pas passé tout mes domaines en HTTPS, parce que certains ne sont que de la consultation : pas de formulaire, que du HTML.

votre avatar







zefling a écrit :



Perso, j’ai pas passé tout mes domaines en HTTPS, parce que certains ne sont que de la consultation : pas de formulaire, que du HTML.





C’est pas qu’une question de sécurité. Les internautes qui consultent tes pages non https sont privés de confidentialité. En effet un fai où n’importe qui sur la ligne pourra savoir précisément quelle page est consultée. La vie privée des gens qui consultent tes sites n’est donc pas respectée


votre avatar

Je me rappelle de l’époque où le seul service gratuit était StartSSL…interface pas très pratique, obligation d’utiliser un certificat navigateur pour se connecter, et fallait surtout pas oublier le renouvellement. Bref il fallait le vouloir pour utiliser du HTTPS en dehors d’un site commercial.



De nos jours avec Let’s Encrypt tout est beaucoup plus facile, surtout quand des outils comme gitlab ou traefik peuvent tout faire à ta place.

votre avatar

j’adore letsencrypt mais pour le coup, ça fait quand-même un gros SPoF

votre avatar







zefling a écrit :



Perso, j’ai pas passé tout mes domaines en HTTPS, parce que certains ne sont que de la consultation : pas de formulaire, que du HTML.





mais du coup le contenu consulté est vulnérable à une MITM non ?


votre avatar

Le https ne masque pas les URLs, ton exemple ne me paraît pas pertinent.

votre avatar







Gersho a écrit :



mais du coup le contenu consulté est vulnérable à une MITM non ?





Oui, mais ceux qui sera au milieu de ne va rien récupérer d’intéressant de plus de ce qu’il y a déjà sur le site en public… vu qu’il n’y a rien de privé.


votre avatar







Cumbalero a écrit :



Le https ne masque pas les URLs, ton exemple ne me paraît pas pertinent.







Il ne masque pas la requete au nom de domaine de base, mais il masque bien la page demandée. Donc si c’est pertinent.


votre avatar

Il pourra modifier le contenu de ton site pour celui qui le consulte.

votre avatar

Oui c’est la que je voulais en venir

votre avatar







fred42 a écrit :



Il pourra modifier le contenu de ton site pour celui qui le consulte.







C’est pas faux. Mais franchement, si c’était si simple, le web http aurait été intégralement pété avant. Puis il faut maintenir pour une personne une version alternative du site. Ça franchement peu d’intérêt pour un site sans information importante. Je ne nie pas que ça soit possible, mais ça sera plus simple d’attaquer le serveur et de remplacer son contenu. Et là, que ça soit https ou pas, ça ne changera rien.


votre avatar

L’injection de pub existe et est déjà utilisée, hein. Et non, c’est beaucoup plus simple de faire du MITM sur du HTTP que de pirater un serveur, à moins que l’accès se fasse en root avec « password » comme mot de passe…



Quelque soit la situation, à part éventuellement de l’ultra-local (réseau interne inaccessible depuis le net ou localhost), le simple HTTP n’a plus de raison d’être utilisé.

votre avatar

Le HTTPS ne masque pas le domaine (parce qu’il y’a toujours la requete DNS), en revanche il masque bien les URLs:

https://stackoverflow.com/questions/499591/are-https-urls-encrypted

Un autre avantage de HTTPS est que quelqu’un en man in the middle ne peut pas modifier la page. Si tu visite une page en HTTP, rien n’empêche un FAI d’injecter du JS dans la page (pour tracker, afficher de la pub, ou autre).

votre avatar







zefling a écrit :



Perso, j’ai pas passé tout mes domaines en HTTPS, parce que certains ne sont que de la consultation : pas de formulaire, que du HTML.







La question serait plutôt de savoir, puisque c’est gratuit et plutôt simple à mettre en place, pourquoi ne pas tout de même y passer ?



Sachant qu’en plus, les moteurs de recherche ont désormais tendance à pénaliser les sites qui ne sont pas en https, et que les navigateurs commencent à effrayer les utilisateurs quand un site n’est pas sécurisé.


Let’s encrypt franchit la barre des 100 millions de certificats actifs

Fermer