Connexion
Abonnez-vous

Let’s Encrypt fête ses 10 ans

Le 22 novembre à 07h45

C’est, en effet, le 18 novembre 2014 que le projet a été annoncé officiellement. Son ambition était de devenir une autorité de certification gratuite permettant à tout un chacun d’avoir un certificat SSL/TLS. Il était alors lancé par l'Internet Security Research Group (ISRG), qui regroupait notamment Mozilla, l’Electronic Frontier Foundation (EFF), l’Internet Society, Akamai, Cisco et Automattic.

L’attente aura été longue avant que la beta publique n’arrive, en décembre 2015. Un mois avant, Let’s Encrypt signait un accord avec l’autorité de certification IdenTrust, permettant à ses certificats d’être reconnus par pratiquement tous les navigateurs existants. Un rappel toujours salutaire : un cadenas ne signifie pas qu'un site est fiable, simplement que la liaison est sécurisée.

Début 2016, nous avions publié un long dossier sur l’arrivée de Let’s Encrypt et la tentative ratée CAcert, une « Autorité de Certification communautaire qui émet gratuitement des certificats pour tous » fondée en 2003. Problème, faute d’accord comme celui entre let’s Encrypt et IdenTrust, CAcert n’a jamais vraiment pu décoller.

On parle d’une époque lointaine où Next INpact (c’était notre nom de l’époque) entamait sa transition vers HTTPS… Depuis, nous avons toujours eu à cœur de respecter la confidentialité et la vie privée. Notre site est pour rappel sans aucune publicité, ni trackeur, ni cookies tiers pour l’ensemble des visiteurs (abonnés ou non). C’est d’ailleurs pour cela que nous n’avons pas besoin de vous afficher de bandeau RGPD.

Le 22 novembre à 07h45

Commentaires (13)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar
Un service qui a clairement changé la donne en matière de sécurisation des échanges sur le Web.

Mais qui a aussi invalidé la vieille communication foireuse disant "si y'a cadenas c'est secure", car il permet aussi de passer en HTTPS un phishing pour gagner en crédibilité. Le revers de la médaille.
votre avatar
De ce point de vue (le cadenas), je pense que le plus gros mal n'est pas la sécurisation des communications, mais la disparition par les navigateurs d'un affichage différents par type de certificat, notamment des certificats EV (extended validation) qui permettent de sécuriser les communications tout en garantissant l'identité de l'organisme derrière.
votre avatar
En soi invalider le message "cadenas = secure" est une bonne chose car il donnait un faux sentiment de sécurité. Le revers de la médaille que je pointais était plutôt dans le sens où la facilité d'accès de ce service a permis de rendre "légitime" des faux.

Avant cela, on disait souvent "si y'a pas https c'est que c'est pas le vrai site".
votre avatar
Avant que let's encrypt soit bien implanté et que les navigateurs mettent une alerte sur les consultations en http, le nombre de vrais sites qui n'étaient pas en https, même pour les authentifications et les boutiques en ligne, était juste affligeant.

Et les "vrais" sites en https pouvaient très bien héberger de la daube quand ils s'étaient fait plomber.

Donc non, la présence du cadenas n'a jamais rien apporté, hormis un faux sentiment de sécurité et plein de pognon aux vendeurs de certificats.
votre avatar
Je parlais avant tout de communication, pas de réalité technique.

La comm à l'époque pour beaucoup, c'était : cadenas = secure = c'est nous, pour résumer.
votre avatar
En même c'était un peu comme dire "s'il y a une voiture verte garée devant, c'est que vous êtes au bon endroit".
Peut-être que c'est rare de payer l'option couleur verte pour sa voiture, mais dans tous les cas, c'est pas un réel indicateur d'être au bon endroit !
votre avatar
Comparaison ratée, ce n'est pas juste une question d'argent mais une vérification du propriétaire, c'est plus comme s'il y avait la police devant la porte vous confirmant que c'est sécurisé (ça reste des comparaisons foireuses...).
votre avatar
Si tu es propriétaire du site loposte[.]fr et que tu _achètes_ le certificat... ça se résume quand même beaucoup à une question d'argent. Mais c'est sûr que maintenant qu'il y a des solutions gratuites comme Let's Encrypt, c'est beaucoup plus accessible.
Après je suis d'accord avec fdorin, il devrait y avoir une différence commune et standard à tous les navigateurs (pas chacun son jeu de couleurs), pour différencier les types de certificats. Mais encore une fois, si tu veux vraiment un certificats EV pour ton loposte[.]fr, c'est possible avec de l'argent.
votre avatar
Ouah le coup de vieux 🥴😁
votre avatar
C'est grâce à Letsencrypt que j'ai pu donner une réalité concrète à mon envie de dégoogleisation. Aujourd'hui tous les services que j'auto-héberge ne sont accessible que par ce chemin. J'ai attendu que le service soit stable, que les clients (certbot par exemple) fassent le job, que les tutos sortent ici et là. Au début ils ont cross-signé leur certificat racine avec je-sais-plus-qui. ce qui leur a permis de décoller.

Merci LE !
votre avatar
Quand vous dites
Notre site est pour rappel sans aucune publicité, ni trackeur, ni cookies tiers pour l’ensemble des visiteurs (abonnés ou non).
Ce n'est pas tout à fait vrai. Par exemple sur la page
next.ink Next
Il y a bien de trackers, c'est ça de mettre une vidéo youtube dans la page
votre avatar
Version de Youtube sans dépôt de cookies...
votre avatar
Google n'a pas vraiment besoin de cookie, de plus il y a des appels vers www.google.com et play.google.com en plus de youtube.

Si tu regardes l'appel vers youtube no cookie, tu verras qu'un finger print du browser est envoyé.

Let’s Encrypt fête ses 10 ans

Fermer