Lets-encrypt

Que signifie Let’s Encrypt ? A quoi sert Let’s encrypt ? Quel est l’intérêt de Let’s encrypt pour vos sites web ? Let’s encrypt est-il disponible chez PHPNET ?

Remettons-nous dans le contexte

1989 : le www (World Wide Web) était né. Au départ principalement à destination des chercheurs et universités il s’est généralisé avec le protocole http (HyperText Transfer Protocol).
Depuis, l’utilisation du « web » n’a cessé de s’étendre et les outils de communication sur la toile de se multiplier. De plus en plus de données sensibles sont échangées (banques, administrations, services de soins…). Dans le même temps, de plus en plus de personnes plus ou moins bien intentionnées cherchent à récupérer ces données. Que ce soit à des simples fins d’analyse ou de malversations.

C’est pourquoi aujourd’hui, afin de garantir une plus grande fiabilité des outils de la toile dans l’avenir, les grands acteurs du net ont décidé de favoriser les échanges qui utilisent le protocole httpS.

Ainsi Google a affirmé sa volonté de favoriser le référencement des sites en httpS. Le moteur de recherche lui-même est passé à ce protocole.
Facebook aussi a décidé de crypter ses données.

Les services gouvernementaux, les armées, les industriels, les chercheurs utilisent le chiffrement pour protéger leurs échanges. En revanche, la généralisation du cryptage ne ravit pas les services qui surveillent les échanges de potentiels terroristes ou autres personnes malveillantes.

WhatsApp, filiale de Facebook, à ce jour a décidé de mettre en place dans sa nouvelle version un cryptage à 100 % et de bout en bout des communications. La firme elle-même ne pourra pas décrypter les échanges, même si la justice l’ordonne. Sur son site elle annonce :
« Certains de vos moments les plus personnels ont été partagés sur WhatsApp, c’est pour cela que nous avons développé le chiffrement de bout en bout dans les dernières versions de notre application. Lorsqu’ils sont chiffrés, vos messages, photos, vidéos, messages vocaux, documents et appels sont protégés pour ne pas tomber entre de mauvaises mains. »

De son coté, la Commission Nationale de l’Informatique et des Libertés (Cnil) s’est prononcée contre l’utilisation dans les procédures judiciaires de « portes dérobées », ces logiciels permettant l’accès aux informations cryptées utilisées notamment par les groupes terroristes. » (AFP/LIONEL BONAVENTURE)

Concrètement, httpS, ça change quoi ?

Le SSL (Secure Sockets Layer) est un protocole destiné à sécuriser les échanges sur internet. On parle aussi de TLS (Transport Layer Security) qui permet de crypter n’importe quelle transmission utilisant TCP/IP.
Nous avons déjà évoqué cela dans un article précédent :
https://blog.phpnet.org/securiser-les-echanges-avec-ssl-tls/

C’est une avancée pour le respect de la confidentialité des échanges privés sur le net (vie privée, médicale, financière…).

Et Let’s Encrypt dans tout ça ?

Jusqu’ici, pour chiffrer ses données il fallait acheter un certificat auprès d’une autorité de certification. La nouveauté c’est que l’IRSG lance en 2016 le logiciel opensource « Let’s Encrypt » destiné à mettre à disposition du grand public des certificats gratuits. L’ISRG est une société californienne d’utilité publique. Sa mission est de réduire les obstacles financiers, technologiques et pédagogiques à la sécurisation des communications sur Internet. Elle est sponsorisée par des acteurs majeurs du web comme : Cisco, Mozilla, Google, Facebook, Free…

Plus d’informations ici : https://letsencrypt.org

Ces certificats ne sont pas « wildcard », on ne peut donc les installer pour plusieurs domaines ou sous-domaines, mais on peut contourner cette problématique en installant un certificat par domaine ou par sous-domaine. Ils sont compatibles avec la plupart des navigateurs, SHA256 et TLS 1.2.

Bien sur, let’s encrypt n’offre pas la garantie que peut offrir une autorité de certification (signature) qu’on peut exiger pour certaines données sensibles.
Les certificats établis ne peuvent-être utilisés que pour les échanges sur le web, pas pour authentifier des mails ou des applications.

Et chez PHPNET comment utiliser Let’s encrypt ?

Dans votre panel client, vous avez désormais deux boutons : un bouton pour installer les certificats traditionnels, l’autre pour lancer une installation automatisée de Let’s Encrypt. Il ne vous reste plus alors qu’à paramétrer l’adresse de votre site en https:// par défaut.

A vous de jouer.

Enregistrer