Let’s Encrypt : l’autorité de certification peine encore à trouver son indépendance

4 min
433
0
0
Publié le

Gratuite, automatique, sécurisée, transparente, ouverte, coopérative… Mais pas tout à faire indépendante : l’autorité de certification Let’s Encrypt peine encore à s’émanciper d’IdenTrust.

Qu’est-ce que Let’s Encrypt ?

  • Let’s Encrypt désigne une autorité de certification (AC ou CA pour Certification Authority) qui délivre des certificats à validation de domaine (Domain Validated ou DV) d’une durée de 90 jours. 
  • Gratuite, automatisée et ouverte, elle est exploitée pour le bénéfice du public. 
  • Le service est fourni par Internet Security Research Group (ISRG). 
  • Les utilisateurs bénéficient ainsi des certificats numériques dont ils ont besoin pour activer HTTPS (SSL/TLS) pour les sites web, gratuitement, donc, mais aussi de la manière la plus intuitive possible. 
  • L’objectif : créer un Web plus sûr et respectueux de la vie privée. Pour en savoir plus sur le sujet, l’ISRG édite chaque année un rapport (en anglais), visible ici pour l’année 2019

Six principes clés autour de l’autorité de certification 

  • La gratuité Quiconque titulaire d’un nom de domaine peut utiliser totalement gratuitement Let’s Encrypt. 
  • L’automatisation. Grâce à un logiciel s’exécutant sur un serveur web et interagissant avec Let’s Encrypt, il est possible d’obtenir simplement un certificat, de le configurer et de l’utiliser de manière sécurisée, et de prendre automatiquement en charge son renouvellement. 
  • La sécurité. L’autorité de certification servira de plate-forme pour faire avancer les meilleures pratiques en matière de sécurité TLS. 
  • La transparence. L’ensemble des certificats délivrés ou révoqués sont enregistrés publiquement et disponibles pour inspection par qui le souhaite. 
  • L’ouverture. Le protocole d’émission et de renouvellement automatique est publié en tant que norme ouverte adoptable par tout utilisateur. 
  • La coopération. L’effort conjoint autour de Let’s Encrypt se fait au bénéfice de la communauté, au-delà du contrôle d’un organisme en particulier. 

Une prise d’indépendance cependant contrariée par l’obsolescence du parc Android 

  • Un principe fait toutefois encore défaut à l’autorité de certification : l’autonomie
  • Si dans l’absolu, elle vole déjà de ses propres ailes sous l’égide d’ISRG (financée notamment par l’EFF et Mozilla), sa prise d’indépendance est retardée par la non-intégration de son certificat racine sur de nombreux terminaux Android. 
  • Let’s Encrypt reste ainsi dépendante d’IdenTrust, fournisseur de certificats numériques qui propose la base de solutions d’identité fiables reconnues par les établissements financiers, les agences gouvernementales et les entreprises du monde entier. 
  • Le lien avec IdenTrust date de 2015, alors que Let’s Encrypt commence à émettre son certificat racine ISRG Root X1. Dans l’attente d’une mise en liste blanche par les éditeurs de navigateurs et de systèmes d’exploitation, ce dernier fait l’objet d’une signature via un certificat tiers : celui d’IdenTrust, DST Root X3
  • Si ISRG Root X1 figure depuis 2018 sur la liste des certificats de confiance dans les principaux OS et navigateurs, la compatibilité descendante connaît des limites, notamment sur Android : à moins d’avoir bénéficié d’une mise à jour spécifique, les versions antérieures à la 7.1 (sortie en août 2016) ne prennent pas en charge ISRG Root X1. 
  • Ce sont ainsi plus d’un tiers des appareils Android en circulation qui sont concernés, avec le risque pour les utilisateurs de faire face à des erreurs lors de la tentative de connexion à des sites recourant à ISRG Root X1. 
  • Peu optimiste ni enclin à s’engager avec une autorité tierce, Let’s Encrypt joue la montre en attendant l’expiration du certificat DST Root X3 annoncée pour le 30 septembre 2021. 
  • Le 11 janvier 2021, un changement sera cependant effectué sur l’API, dans l’objectif de fournir par défaut aux sites web des certificats liés directement à ISRG Root X1, et non plus à DST Root X3. 
  • Ce sera cela dit aux éditeurs de trancher, soit en abandonnant les vieux appareils, soit en basculant en HTTP non sécurisé, soit en changeant de certificat racine. Let’s Encrypt propose pour sa part de demander aux utilisateurs concernés d’installer Firefox Mobile, compatible jusqu’à Android 4.1 et qui n’utilise pas la liste de certificats Android, puisqu’il dispose de la sienne, maintenue à jour. 

Affaire à suivre ! 

Pour tout savoir sur Let’s Encrypt, consultez son riche espace de documentation en ligne

Boostez vos projets IT

Les meilleures missions et offres d’emploi sont chez Free-Work

Continuez votre lecture autour des sujets :

Commentaire

Dans la même catégorie

Au service des talents IT

Free-Work est une plateforme qui s'adresse à tous les professionnels des métiers de l'informatique.

Ses contenus et son jobboard IT sont mis à disposition 100% gratuitement pour les indépendants et les salariés du secteur.

Free-workers
Ressources
A propos
Espace recruteurs
2024 © Free-Work / AGSI SAS
Suivez-nous

Nouveauté ! Avec Free-Work MyBusiness, vous pouvez désormais gérer votre facturation, vos clients et votre activité facilement. C'est gratuit et sans engagement !