Connexion
Abonnez-vous

Let’s Encrypt a délivré plus d’un milliard de certificats

Let's Encrypt a délivré plus d’un milliard de certificats

Le 28 février 2020 à 08h55

Le projet permettant d’obtenir des certificats SSL gratuitement a été lancé en décembre 2015. Trois mois plus tard, la barre du million était franchie, puis 100 millions en juin 2017. Désormais, le milliard est atteint

Dans le lot, plus de 110 millions de certificats sont actifs et plus de 1,2 million de nouveaux sont délivrés chaque jour. De plus amples statistiques sont disponibles sur cette page.

Le 28 février 2020 à 08h55

Commentaires (20)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Et depuis que mon Synology a son certificat Let’s Ecnrypt et plus le certificat auto-signé made-in Synology, plus d’erreur sous Firefox/Chrome, et le proxy/firewall de la boîte me laisse y accéder \o/

votre avatar

J’allais demander s’il existait un bon guide pour ça. J’en ai trouvé un sur un petit site sympa😉

votre avatar

qui est derrière let’s encrypt? car maintenir l’infrastructure doit avoir un certain coup…

 

D’autre part je serais curieux de voir le suivi qu’il peut y avoir face à la véracité des informations données pour obtenir un certificat signé. Car même si c’est super pratique, ça peut être également un moyen pour des personne malveillantes attirer des victimes sur leurs sites sans éveiller de soupçons.

votre avatar

C’est cool. Malheureusement, mes 2 synology sont trop vieux (DSM 4.x et DSM 5). Je ne m’y suis pas remis depuis quelques temps mais je crois que la prise en charge des certificats Let’s Encrypt n’est disponible qu’à partir de DSM 6.0.

Mais je dois pouvoir importer un certificat valide aussi. Il faut que je me repenche sur la question.

Quelqu’un a-t-il déjà fait ?

votre avatar

Let’s Encrypt demande juste le nom de domaine. Le certificat ne contient aucune information sur le propriétaire (physique ou morale) car cela peut supposer des démarches administratives.



Après, qu’un site “malveillant” soit chiffré ou non reste un site “malveillant”. Le chiffrement d’un site ne le rend pas moins dangereux.

votre avatar







ultrariri a écrit :



Après, qu’un site “malveillant” soit chiffré ou non reste un site “malveillant”. Le chiffrement d’un site ne le rend pas moins dangereux.





Ce n’est pas ce que je pointe. Pour madame michu qui va se rappeler que quand y’a un cadenas vert c’est bon je peux faire péter la CB, ça reste tendancieux. D’ailleurs il faudrait que je retrouve le flyer, mais il y a quelques années les services de fraudes avaient fait une petite explications pour les néophytes, pour à l’époque éviter de naviguer sur des sites auto-signés.


votre avatar

Quelle est la différence entre “Pour madame michu qui va se rappeler que quand y’a un cadenas vert c’est bon je peux faire péter la CB” et “Le chiffrement d’un site ne le rend pas moins dangereux” ?

votre avatar







johanns a écrit :



Ce n’est pas ce que je pointe. Pour madame michu qui va se rappeler que quand y’a un cadenas vert c’est bon je peux faire péter la CB, ça reste tendancieux. D’ailleurs il faudrait que je retrouve le flyer, mais il y a quelques années les services de fraudes avaient fait une petite explications pour les néophytes, pour à l’époque éviter de naviguer sur des sites auto-signés.





Je pense que ça fait pas loin de 2 ans qu’au moins Chrome et Safari (=100% des madames Michu=90% des utilisateurs) n’affiche pas de cadenas vert pour les sites HTTPS

Vérifier ses postulats de départ avant de commenter c’est plus agréable pour tout le monde


votre avatar

Je n’irai pas jusqu’à 90 %, ou du moins une partie n’a même pas remarqué qu’Avast a encore installé Chrome et qu’ils ont switché dessus par mégarde (vu que Firefox ressemble physiquement à Chrome, un choix bien évidemment stupide…).



Mais il n’empêche que les vieux réflexes ont la vie dure et si ces personnes voulaient aller ailleurs que sur Amazon, le fait de ne pas voir le cadenas vert est encore un facteur bloquant pour tester la concurrence. Il m’arrive d’expliquer que ce cadenas n’est plus une sécurité.



Ce qui est amusant, est que Google a vendu ce retrait du cadenas comme la preuve que la sécurité sur Internet a augmenté. Au contraire, elle a diminué car ce certificat avait un coût que les sites d’escrocs payaient que très rarement…

 

votre avatar

Les certificats “non EV” n’ont jamais couté bien cher…

votre avatar

Même à 30 € le non-EV et en ajoutant un hébergement low-cost ainsi qu’une somme inconnue de “publicité” pour se faire connaître, et vu que le site aura une durée de vie courte avant d’être bloqué directement par le navigateur car dénoncé comme à risque, ça fait un coût non négligeable pour une rentabilité non garantie car s’il faut cracher 34 sites pour chopper un pigeon…




   Maintenant le coût est nul, c'est plus simple et c'est ça de gagné et ça augmente les chances de duper les personnes encore restées sur cet indicateur.
votre avatar

Le vrai problème c’est d’avoir associé le cadena vert à l’idée d’être sur le bon site. Résultat… on en est là maintenant.



Perso j’aurai préféré qu’on reste bien plus en HTTP et conserver le HTTPS pour les phases de paiements etc. Mais entre l’espionite aiguë de nos gouvernements, la revente d’info, les attaques pirates etc. on a du renforcer toute la chaine… et voilà qu’on en est à devoir cacher les requêtes DNS <img data-src=" />

votre avatar







CryoGen a écrit :



Le vrai problème c’est d’avoir associé le cadena vert à l’idée d’être sur le bon site. Résultat… on en est là maintenant.



Perso j’aurai préféré qu’on reste bien plus en HTTP et conserver le HTTPS pour les phases de paiements etc. Mais entre l’espionite aiguë de nos gouvernements, la revente d’info, les attaques pirates etc. on a du renforcer toute la chaine… et voilà qu’on en est à devoir cacher les requêtes DNS <img data-src=" />





toutafé.

En plus, avant en http on pouvait analyser le texte des requêtes arrivants sur un serveur. Très utile pour contrer des Ddos ou des slow Loris avec le firewall. Là bah c’est mort.



Mais bon le jeux en vaut quand même la chandelle.


votre avatar

n’importe quoi! Firefox tu connais? Tu parles de postulats, d’où tu tiens tes sources de pourcentage d’utilisation? on est même plus à la louche dans tes dires, mais à la pelleteuse.



https://www.leptidigital.fr/webmarketing/parts-de-marche-navigateurs-web-10814/

votre avatar

completement d’accord avec toi

votre avatar







ultrariri a écrit :



Quelle est la différence entre “Pour madame michu qui va se rappeler que quand y’a un cadenas vert c’est bon je peux faire péter la CB” et “Le chiffrement d’un site ne le rend pas moins dangereux” ?







Kamoulox.<img data-src=" />


votre avatar

Le beau SPOF !

votre avatar

Let’s Encrypt est un projet mené par l’Internet Security Research Group, une organisation californienne d’utilité publique dans laquelle siègent au conseil d’administration des représentants de plusieurs acteurs du Web. (dont OVH d’ailleurs)



Les certificats générés permettent uniquement d’attester que ceux-ci ont été produits pour le nom de domaine concerné. L’enrôlement est fait par divers challenges entre l’autorité et le serveur web qui fait la demande de certificat. C’est le protocole ACME qui gère ça, développé par l’ISRG justement et depuis implémenté par d’autres autorités du marché ainsi que des PKI en remplacement du SCEP.



Côté infra, c’est notamment hébergé chez AWS.

votre avatar

Merci pour les informations!

votre avatar

La décision est effectivement étrange, pour ma part j’aimais bien avoir le certificat EV visible même si ça ne sécurise pas plus ça montre tout de même le sérieux de l’entreprise et une entreprise affichant en certificat EV apporte probablement de l’importance a son image et donc à la sécurisation de son image sur internet et par extension de la sécurité de son site. Let’s encrypt c’est bon pour un site vitrine, un blog, mais pour du e-commerce l’image de sérieux a son importance. cf le nombre de landing page pour des produits “foireux” souvent en anglais (même si le vendeur peut être Français) et sans aucune mention de la société ou de CGV … ils sont mis au même niveau de sécurité que amazon, cdiscount & co, c’est sympa pour eux <img data-src=" />

&nbsp;

Let’s Encrypt a délivré plus d’un milliard de certificats

Fermer