Let's encrypt franchit la barre des 100 millions de certificats actifs

Let’s encrypt franchit la barre des 100 millions de certificats actifs

Par Sébastien Gavois

Le 27 Mai 2019 à 09h36
Internet
1 min 15

Let's encrypt franchit la barre des 100 millions de certificats actifs

Une victoire pour le service qui propose pour rappel des certificats gratuits de sécurité pour les sites ou applications, afin de permettre des échanges chiffrés de données.

Let’s Encrypt a été créé par l'Internet Security Research Group, alliance regroupant l'EFF, Mozilla, Akamai, Cisco et d'autres acteurs, dans l’objectif affiché de faire progresser le HTTPS un peu partout.

Un objectif atteint. On se souvient des statistiques publiées par Google : le trafic HTTPS traité par Chrome est passé de 30-40 % à 70-80 % en seulement deux ans. Une influence telle que nous évoquions le danger pour Let’s Encrypt de devenir un SPOF.

Sur la page des statistiques de Let’s Encrypt, on peut également voir que Firefox est près des 80 % de trafic HTTPS à l’échelle mondiale. Il semble toutefois que ce score soit une « barrière », car la croissance a ralenti. Les derniers 20 % seront probablement les plus difficiles à convertir.

Commentaires (15)


tpeg5stan
Le 27/05/2019 à 08h58

Owi, un tout grand merci à Let’s Encrypt ! <img data-src=" />


zefling Abonné
Le 27/05/2019 à 10h54



Il semble toutefois que ce score soit une « barrière », car la croissance a ralenti. Les derniers 20 % seront probablement les plus difficiles à convertir.





Perso, j’ai pas passé tout mes domaines en HTTPS, parce que certains ne sont que de la consultation : pas de formulaire, que du HTML.


marba
Le 27/05/2019 à 11h15







zefling a écrit :



Perso, j’ai pas passé tout mes domaines en HTTPS, parce que certains ne sont que de la consultation : pas de formulaire, que du HTML.





C’est pas qu’une question de sécurité. Les internautes qui consultent tes pages non https sont privés de confidentialité. En effet un fai où n’importe qui sur la ligne pourra savoir précisément quelle page est consultée. La vie privée des gens qui consultent tes sites n’est donc pas respectée



Obidoub
Le 27/05/2019 à 11h31

Je me rappelle de l’époque où le seul service gratuit était StartSSL…interface pas très pratique, obligation d’utiliser un certificat navigateur pour se connecter, et fallait surtout pas oublier le renouvellement. Bref il fallait le vouloir pour utiliser du HTTPS en dehors d’un site commercial.



De nos jours avec Let’s Encrypt tout est beaucoup plus facile, surtout quand des outils comme gitlab ou traefik peuvent tout faire à ta place.


Albirew Abonné
Le 27/05/2019 à 13h17

j’adore letsencrypt mais pour le coup, ça fait quand-même un gros SPoF


Gersho
Le 28/05/2019 à 00h36







zefling a écrit :



Perso, j’ai pas passé tout mes domaines en HTTPS, parce que certains ne sont que de la consultation : pas de formulaire, que du HTML.





mais du coup le contenu consulté est vulnérable à une MITM non ?



Cumbalero
Le 28/05/2019 à 03h52

Le https ne masque pas les URLs, ton exemple ne me paraît pas pertinent.


zefling Abonné
Le 28/05/2019 à 08h12







Gersho a écrit :



mais du coup le contenu consulté est vulnérable à une MITM non ?





Oui, mais ceux qui sera au milieu de ne va rien récupérer d’intéressant de plus de ce qu’il y a déjà sur le site en public… vu qu’il n’y a rien de privé.



marba
Le 28/05/2019 à 08h19







Cumbalero a écrit :



Le https ne masque pas les URLs, ton exemple ne me paraît pas pertinent.







Il ne masque pas la requete au nom de domaine de base, mais il masque bien la page demandée. Donc si c’est pertinent.



fred42 Abonné
Le 28/05/2019 à 08h26

Il pourra modifier le contenu de ton site pour celui qui le consulte.


Gersho
Le 28/05/2019 à 08h48

Oui c’est la que je voulais en venir


zefling Abonné
Le 28/05/2019 à 09h01







fred42 a écrit :



Il pourra modifier le contenu de ton site pour celui qui le consulte.







C’est pas faux. Mais franchement, si c’était si simple, le web http aurait été intégralement pété avant. Puis il faut maintenir pour une personne une version alternative du site. Ça franchement peu d’intérêt pour un site sans information importante. Je ne nie pas que ça soit possible, mais ça sera plus simple d’attaquer le serveur et de remplacer son contenu. Et là, que ça soit https ou pas, ça ne changera rien.



Br31zh Abonné
Le 31/05/2019 à 09h46

L’injection de pub existe et est déjà utilisée, hein. Et non, c’est beaucoup plus simple de faire du MITM sur du HTTP que de pirater un serveur, à moins que l’accès se fasse en root avec « password » comme mot de passe…



Quelque soit la situation, à part éventuellement de l’ultra-local (réseau interne inaccessible depuis le net ou localhost), le simple HTTP n’a plus de raison d’être utilisé.


gnomesgames
Le 04/06/2019 à 08h33

Le HTTPS ne masque pas le domaine (parce qu’il y’a toujours la requete DNS), en revanche il masque bien les URLs:

https://stackoverflow.com/questions/499591/are-https-urls-encrypted

Un autre avantage de HTTPS est que quelqu’un en man in the middle ne peut pas modifier la page. Si tu visite une page en HTTP, rien n’empêche un FAI d’injecter du JS dans la page (pour tracker, afficher de la pub, ou autre).


Okki Abonné
Le 13/06/2019 à 18h45







zefling a écrit :



Perso, j’ai pas passé tout mes domaines en HTTPS, parce que certains ne sont que de la consultation : pas de formulaire, que du HTML.







La question serait plutôt de savoir, puisque c’est gratuit et plutôt simple à mettre en place, pourquoi ne pas tout de même y passer ?



Sachant qu’en plus, les moteurs de recherche ont désormais tendance à pénaliser les sites qui ne sont pas en https, et que les navigateurs commencent à effrayer les utilisateurs quand un site n’est pas sécurisé.



Fermer