Les américains de chez Let’s Encrypt vont lancer, le 3 décembre, leur solution de SSL gratuit.
Let Encrypt est une autorité de certification libre, automatisée et ouverte qui vous est proposée par le groupe de chercheurs de l’Internet Security Research Group (ISRG). ISRG est une entité californienne d’intérêt public. L’association va lancer, le 3 décembre, son service gratuit dédié au chiffrement de vos communications. Du SSL pour tous. Après trois mois de test, la version bêta fermée, lancée depuis le 12 septembre 2015, va être proposée en version bêta publique.
En septembre, plus de 11.000 certificats ont été émis. Une solution qui permettra d’afficher sur son site le HTTPS rassurant. La connexion, entre votre ordinateur et votre correspondant (site web, …), sera chiffrée.
Petit bémol ! Il pourrait être inquiétant de savoir qu’une entreprise basée à San Francisco propose du chiffrement, gratuitement. Les autorités américaines nous ont habitué à être suspicieux, très suspicieux. Et ce n’est pas à la NSA qu’on apprendra à faire un MITM, une attaque de l’homme du milieu. A suivre !
Mise à jour : La solution proposée permet d’acquérir un certificat X.509 qui est un élément nécessaire pour bénéficier d’une adresse web en HTTPS. Le S indiquant « Sécurisé », donc chiffré de l’ordinateur du visiteur au site Internet proposant ce HTTPS. C’est à l’administrateur (ou l’hébergeur) de choisir le TLS : ECDHE-AES-GCM ou RSA-RC4, RSA-3DES.
Cet article et ses commentaires à la fin sont d’un niveau très douteux auquel ce site ne m’avait pas habitué. Let’s Encrypt propose uniquement une solution pour acquérir (simplement et gratuitement) un certificat X.509 qui est un élément nécessaire pour activer TLS (sans alerte concernant un certificat auto-signé) et bénéficier d’HTTPS sur un site web.
La configuration de la partie cryptographique : version de TLS, choix de suites crypto robustes (ECDHE-AES-GCM) ou douteuses (RSA-RC4, RSA-3DES) incombe à l’admin système ou l’hébergeur du site en question.
Mozilla publie un wiki assez instructif à ce sujet : https://wiki.mozilla.org/Security/Server_Side_TLS