« To be or not to be HTTPS ? », c’est la question que vous vous êtes sûrement posée ou vous posez peut-être aujourd’hui, si vous gérez un site Internet.
Il s’est produit une véritable ruée sur le certificat SSL/TLS, depuis l’annonce de nouvelles règles d’indexation par Google, en 2014. En réalité, cette incitation à l’adoption généralisée du protocole « HTTPS », recouvre une plus grande ambition : rendre le Web plus sécurisé et performant.
C’est dans ce cadre que le logiciel libre de certification Let’s Encrypt a fait son entrée en 2015. Sa formule combine pour la première fois trois ingrédients majeurs : sécurité, automatisation du renouvellement et gratuité.
En créant une rupture avec les acteurs traditionnels du marché, Let’s Encrypt a suscité critiques et suspicions dans le monde de la certification. Pourtant ce logiciel libre présente de sérieux atouts, dont il serait dommage de se passer.
Voici notre décryptage en 4 points (ou en vidéo, à la fin de cet article).
1. Décrocher le cadenas vert : l’enjeu du HTTPS
À quoi sert un certificat SSL/TLS pour votre site ?
Tout d’abord, il garantit 3 éléments fondamentaux :
- la confidentialité des messages échangés entre un ordinateur et un serveur
- le verrouillage des données pendant leur transfert
- l’authenticité de l’expéditeur
Ensuite, il répond aux exigences de Google et Firefox sur 2 points :
- le SEO : les robots d’indexation de Google privilégient le HTTPS, au détriment du HTTP
- la fiabilité : un cadenas vert a été instauré dans les barres de navigation, pour aider les internautes à identifier que leur connexion est cryptée
Désormais, une grande partie des navigateurs classent les sites Web en 2 catégories : « secure » (HTTPS) / « not secure » (HTTP). Et peu importe si le système SSL, dans le fond, ne garantit pas la fiabilité du contenu. Il s’agit ici de rendre le réseau plus sûr.
2. Choisir sa certification : le marché des CA
Comment obtient-on le fameux sésame vert ?
C’est là que les Autorités de Certification – ou CA – entrent en scène.
Les CA sont majoritairement des compagnies externes agissant comme intermédiaires « de confiance ». Leur rôle est de décrire l’identité numérique d’un site et de vérifier la validité des documents qui lui sont fournis.
Le choix d’un certificat dépend du niveau de garantie que l’on veut offrir à ses visiteurs.
La majorité des sites pourra se contenter d’une validation du nom de domaine. Mais pour certains cas – par exemple une banque en ligne ou une entreprise supportant des milliers de transactions par mois – un niveau de certification élevé permet d’afficher un degré de fiablité maximale à ses clients et de bénéficier d’un système d’assurance, en cas de faille.
Le modèle Let’s Encrypt
Jusqu’en 2015, obtenir une certification reconnue nécessitait de passer par des vendeurs ou revendeurs de certificats SSL aux tarifs variables, voire parfois onéreux. C’est alors que l’Autorité de certification Let’s Encrypt (ou LE) s’est présentée comme alternative.
L‘Internet Let’s Encrypt Group est un organisme a but non lucratif, dont la mission est d’œuvrer à la mise en place d’un écosystème capable de garantir la gestion et la mise à jour des certificats SSL/TLS.
Installée dans une majorité de navigateurs, Let’s Encrypt ne délivre que des certificats de type DV, car plus simples à générer et à automatiser.
En se rendant accessible au plus grand nombre, Let’s Encrypt vise à :
- Contribuer à un Web 100% crypté
- Protéger la vie privée des internautes
- Aboutir au « zéro effort » humain pour la procédure de certification
- Faire du HTTPS un protocole transparent, notamment via le projet Certificate Transparency.
3. Comprendre Let’s Encrypt : notions de base
Aux 3 principes de cryptographie de base, Let’s Encrypt (LE) ajoute 7 critères particuliers. Voici un résumé en infographie :
Fiable et avantageux, le projet Let’s Encrypt a déjà séduit de nombreux acteurs et sites Web, sans convaincre encore totalement. 2 points en particuliers sont souvent décriés :
La durée du certificat
La durée de validité du certificat LE est de 90 jours, au lieu de 1 à 2 ans pour les CA traditionnels : pourquoi un laps de temps si court ?
Deux raisons à cela :
- LE veut encourager le recours à l’automatisation du renouvellement des certificats, afin que les sites soient cryptés en continu.
- Cette durée permet au client ACME de prendre en compte régulièrement les mises à jour et corrections de bugs.
La complexité de l’installation LE
Profiter de tous les atouts qu’offrent Let’s Encrypt, requiert une configuration minutieuse.
La bonne nouvelle, c’est que plusieurs hébergeurs, dont Evolix, proposent dorénavant à leurs clients de mettre en place un certificat LE.
Et si vous procédez à la mise en place vous-même, vous pourrez vous référer à la documentation disponible sur le site Let’s Encrypt. Mais selon votre niveau technique, la tâche pourra malgré tout vous paraître plus ou moins complexe…
4. Configurer Let’s Encrypt : quelques astuces
Si le projet LE se veut le plus accessible et simple possible, quelques connaissances de base sont requises pour assurer une installation optimale.
Pour connaître le détail des paramètres de configuration à appliquer, nous vous invitons à consulter le tutoriel sur notre Wiki.
Voici les 4 points fondamentaux auxquels vous devrez porter attention :
A. Choisir votre client
Vous avez le choix entre plusieurs clients ACME, dont vous trouverez ici une liste non exhaustive. Le client recommandé par Let’s Encrypt est CERTBOT.
Celui-ci a plusieurs qualités, comme le fait de reconnaître les formats NGNIX et APACHE et d’exécuter des recherches en une seule commande. Mais son principal atout réside dans sa capacité à vérifier les dates d’expiration dans les 30 jours et de procéder automatiquement aux mises à jour nécessaires.
B. Déterminer vos clés RSA
LE utilise le système de chiffrement RSA. Par défaut, le logiciel propose des clés RSA de 2048 bits, réputées plus faillibles. Si vous souhaitez opter pour un chiffrement plus fort d’au moins 4096 bits, il vous faudra modifier la longueur des clés vous-même.
C. Paramétrer votre serveur pour le renouvellement du certificat
Let’s Encrypt fonctionne selon un protocole simple : le compte créé, le client ACME effectue une demande de certificat, puis une vérification de la propriété du nom de domaine. Le certificat émis, il l’installe et configure le chiffrement HTTPS dans le serveur.
Par la suite, pour que le renouvellement se fasse automatiquement tous les 3 mois, il vous faut actionner une commande spécifique pouvant prendre en compte tous vos noms de domaine.
D. Éliminer les contenus mixtes sur votre site
Une fois l’installation de Let’s Encrypt réalisée, il faudra enfin vous assurer que toutes les ressources (images, boutons, etc.) de votre site sont en HTTPS, pour un chiffrement 100% efficace.
Si des éléments chargés dans votre site sont restés en HTTP, vous pouvez vous retrouver avec du « contenu mixte » (HTTP et HTTPS). Le risque ? Non seulement le cadenas vert n’apparaîtra pas dans votre barre de navigation, mais certains navigateurs, comme Firefox, bloqueront le chargement des contenus non conformes.
Vous devrez donc procéder à une traque impitoyable des éléments HTTP sur votre site, les vérifier et en remplacer les URL. Vous pourrez vous aider de moteurs d’analyse comme celui-ci, pour scanner votre site.
En conclusion
La contribution de Let’s Encrypt pour l’écosystème Web est telle, qu’on serait tenté de regretter que l’organisme ne propose pas également de certificats EV.
Hélas ! il faut une limite à toute bonne chose et celle de LE est clairement justifiée : le projet n’a pas vocation à devenir le « single point of failure », c’est à dire l’unique certification distribuée au monde.
Bien au contraire, pour rendre le web plus sûr et transparent, Let’s Encrypt se propose comme un moyen simplifié d’inciter les sites en HTTP, même non marchands, à adopter un certificat SSL/TLS.
Un objectif que nous ne pouvons que louer, en tant que membres de la communauté du logiciel libre !
Voici pour finir, une présentation vidéo de Let’s Encypt, le trublion du https
Vous voulez en savoir plus sur le projet Let’s Encrypt ? Nous vous conseillons ce podcast.
