Une victoire pour le service qui propose pour rappel des certificats gratuits de sécurité pour les sites ou applications, afin de permettre des échanges chiffrés de données.
Let’s Encrypt a été créé par l'Internet Security Research Group, alliance regroupant l'EFF, Mozilla, Akamai, Cisco et d'autres acteurs, dans l’objectif affiché de faire progresser le HTTPS un peu partout.
Un objectif atteint. On se souvient des statistiques publiées par Google : le trafic HTTPS traité par Chrome est passé de 30-40 % à 70-80 % en seulement deux ans. Une influence telle que nous évoquions le danger pour Let’s Encrypt de devenir un SPOF.
Sur la page des statistiques de Let’s Encrypt, on peut également voir que Firefox est près des 80 % de trafic HTTPS à l’échelle mondiale. Il semble toutefois que ce score soit une « barrière », car la croissance a ralenti. Les derniers 20 % seront probablement les plus difficiles à convertir.
Commentaires (15)
#1
Owi, un tout grand merci à Let’s Encrypt ! " />
#2
Il semble toutefois que ce score soit une « barrière », car la croissance a ralenti. Les derniers 20 % seront probablement les plus difficiles à convertir.
Perso, j’ai pas passé tout mes domaines en HTTPS, parce que certains ne sont que de la consultation : pas de formulaire, que du HTML.
#3
#4
Je me rappelle de l’époque où le seul service gratuit était StartSSL…interface pas très pratique, obligation d’utiliser un certificat navigateur pour se connecter, et fallait surtout pas oublier le renouvellement. Bref il fallait le vouloir pour utiliser du HTTPS en dehors d’un site commercial.
De nos jours avec Let’s Encrypt tout est beaucoup plus facile, surtout quand des outils comme gitlab ou traefik peuvent tout faire à ta place.
#5
j’adore letsencrypt mais pour le coup, ça fait quand-même un gros SPoF
#6
#7
Le https ne masque pas les URLs, ton exemple ne me paraît pas pertinent.
#8
#9
#10
Il pourra modifier le contenu de ton site pour celui qui le consulte.
#11
Oui c’est la que je voulais en venir
#12
#13
L’injection de pub existe et est déjà utilisée, hein. Et non, c’est beaucoup plus simple de faire du MITM sur du HTTP que de pirater un serveur, à moins que l’accès se fasse en root avec « password » comme mot de passe…
Quelque soit la situation, à part éventuellement de l’ultra-local (réseau interne inaccessible depuis le net ou localhost), le simple HTTP n’a plus de raison d’être utilisé.
#14
Le HTTPS ne masque pas le domaine (parce qu’il y’a toujours la requete DNS), en revanche il masque bien les URLs:
https://stackoverflow.com/questions/499591/are-https-urls-encrypted
Un autre avantage de HTTPS est que quelqu’un en man in the middle ne peut pas modifier la page. Si tu visite une page en HTTP, rien n’empêche un FAI d’injecter du JS dans la page (pour tracker, afficher de la pub, ou autre).
#15