Let’s encrypt – Les certificats SSL (gratuits ?) prochainement proposés par OVH, Gandi & Infomaniak

Alors que Let’s Encrypt peut être utilisé par tous afin de générer des certificats SSL/TLS, des hébergeurs vont commencer à proposer une intégration directement aux sein de leurs offres dès les premiers jours de 2016.

Le projet Let’s Encrypt est désormais en bêta publique. L’occasion pour les premiers utilisateurs de sauter le pas, mais aussi pour les premiers partenaires de faire preuve de leurs intentions de manière plus ouverte.

Let’s Encrypt : automatisation et gratuité des certificats

Pour rappel, Let’s Encrypt vise à simplifier la création et l’installation d’un certificat SSL/TLS gratuit sur un serveur, pour une durée de trois mois (renouvelable). De quoi permettre à chacun de proposer des connexions sécurisées, afin de chiffrer les contenus échangés, de s’assurer de l’identité du serveur et d’éviter que le contenu ne soit altéré.

Cela passe par la mise en place d’une nouvelle autorité de certification (Boulder, développé en Go), mais aussi d’un protocole spécifique en voie de standardisation (ACME) et un client open source (pouvant être remplacé). La vérification de l’identité est assez basique et l’ensemble du processus est automatisé. Une sorte de croisement entre StartSSL (pour l’aspect gratuit) et SSLMate qui avait introduit une automatisation assez intéressante du processus d’achat et d’acquisition des certificats SSL.

Néanmoins Let’s Encrypt va tout de même un peu plus loin et se propose de s’occuper de la mise en place du certificat au sein de la configuration de votre serveur (Apache, ou Nginx de manière expérimentale).

Conférence SSL/TLS de Benjamin Sonntag – Il était une fois internet (Licence CC BY-SA 3.0)

Des hébergeurs vont sauter le pas d’ici quelques jours

De quoi séduire de nombreux acteurs qui voudraient chercher à simplifier la mise en place de certificats SSL/TLS pour leurs clients. Mais les premiers à sortir du bois pourraient bien être les hébergeurs.

En effet, dans le cadre de la rédaction d’un article sur Let’s Encrypt, nous avons pu apprendre qu’au moins trois acteurs allaient sauter le pas dès les premiers jours de 2016 : Gandi, Infomaniak et OVH. Un l’a déjà fait depuis le début du mois : Planet-Work (c’est actuellement en phase de test, ce qui explique l’absence de mise en avant sur le site).

Gandi nous a ainsi confirmé ce matin travailler actuellement à « une intégration facilitée de Let’s Encrypt » pour ses clients. Une annonce devrait ainsi intervenir dès le mois de janvier sur les modalités exactes. Pour rappel, Gandi propose déjà à ses clients qui achètent un domaine de disposer d’un certificat SSL sans surcoût la première année (12 euros HT par an ensuite).

Infomaniak est de son côté un sponsor officiel de Let’s Encrypt. La société avait d’ailleurs annoncé dès octobre dernier quelle allait proposer à ses clients de bénéficier gratuitement d’un certificat SSL délivré par la nouvelle autorité. L’intérêt est là aussi dans la procédure simplifiée puisque tout se passe à travers la console principale « par un simple clic ». De quoi remplacer la procédure actuelle permettant simplement d’obtenir un certificat auto-signé.

Annoncée pour décembre, cette fonctionnalité devrait finalement être mise en place sous peu selon nos informations. Il nous a ainsi été confirmé que le lancement était imminent et que les derniers détails sont en train d’être mis en place, notamment au niveau de la documentation.

OVH, enfin, a indiqué il y a quelques jours à travers un communiqué de presse être désormais un sponsor officiel de Let’s Encrypt. Mais il n’était pour autant pas question d’une intégration à l’offre de l’hébergeur, qui propose actuellement des certificats pour un peu moins de 50 euros HT sur son site.

Mais là encore, nous avons pu avoir la confirmation que des certificats seraient intégrés aux offres d’hébergement web dès le courant du mois de janvier. Les modalités exactes restent à découvrir, mais tout devrait aller très vite.

Let’s Encrypt obtient des résultats, mais va encore devoir évoluer

Si l’initiative Let’s Encrypt n’est ainsi pas la première à vouloir proposer des certificats SSL/TLS gratuits ou de manière bien plus automatisée que la moyenne, sa capacité à fédérer un grand nombre d’acteurs et sa conception basée sur des standards et un client open source semblent donc réussir là où d’autres avaient échoué auparavant (notamment CACert).

Elle arrive ainsi à fédérer les hébergeurs sur la mise en place de certificats gratuits et automatisée, alors que rares étaient les acteurs qui osaient aller dans ce sens jusqu’à maintenant. De quoi faire des certificats de base la norme pour l’hébergement, chacun étant libre ensuite de monter en gamme, et d’aller jusqu’aux certificats à validation étendue (et leur fameuse barre verte).

Cela devrait contenter les acteurs qui poussent à une utilisation massive de HTTPS, Google en tête, mais ils sont de plus en plus nombreux. Reste maintenant à ce que d’autres suivent le chemin, comme les éditeurs de solutions d’auto-hébergement ou les fabricants de NAS par exemple. Il faudra aussi que Let’s Encrypt continue son évolution et sorte de sa phase de bêta, notamment pour renforcer ses paramètres par défaut qui peuvent être critiqués, mais aussi afin de supporter un nombre croissant de plateformes.