Let's Encrypt a émis un milliard de certificats

Le 27 février 2020, une autorité de certification gratuite Let's Encrypt a émis un milliardième certificat .

Dans un communiqué de presse festif, les représentants du projet rappellent que le précédent anniversaire de 100 millions de certificats délivrés avait été célébré en juin 2017 . Ensuite, la part du trafic HTTPS sur Internet était de 58% (aux États-Unis - 64%). En deux ans et demi, les chiffres ont considérablement augmenté: «Aujourd'hui, 81% des pages de téléchargement dans le monde utilisent HTTPS, et aux États-Unis, nous sommes à 91%! - les gars du projet se réjouissent. - Une réalisation incroyable. Il s'agit d'un niveau beaucoup plus élevé de confidentialité et de sécurité pour tout le monde. »

Let's Encrypt a joué un rôle très important en faisant des certificats HTTPS un standard utilitaire et un cryptage fiable du trafic - le standard parfait sur Internet.

Les tests bêta de l'autorité de certification innovante Let's Encrypt ont commencé en décembre 2015. Une caractéristique unique du nouveau centre était que le processus de délivrance des certificats était initialement complètement automatisé.

La configuration automatique de HTTPS sur le serveur se déroule en deux étapes. À la première étape, l'agent notifie à l'autorité de certification les droits d'administrateur de serveur sur le nom de domaine. Par exemple, une vérification peut inclure la création d'un sous-domaine spécifique ou l'installation d'une ressource HTTP avec un URI spécifique à l'intérieur du domaine.



Let's Encrypt identifie le serveur Web avec l'agent exécuté par la clé publique. Les clés publiques et privées sont générées par l'agent avant la première connexion à une autorité de certification. Lors de la vérification automatique, l'agent effectue un certain nombre de tests: par exemple, il signe le mot de passe à usage unique avec la clé publique et présente une ressource HTTP avec un URI spécifique. Si la signature numérique est correcte et que tous les tests sont réussis, l'agent est autorisé à gérer les certificats pour le domaine.



Dans une deuxième étape, un agent peut demander, renouveler et révoquer des certificats. Pour l'émission automatique de certificats, un protocole d'authentification défi-réponse (appel-réponse, appel-réponse) est utilisé, appelé Automated Certificate Management Environment (ACME). Toutes les manipulations de certificats sont effectuées sans arrêter le serveur Web à l'aide du client Certbot ACME . Il est facile à utiliser, fonctionne sur la plupart des systèmes d'exploitation et est bien documenté. Il existe un mode expert avec un ensemble étendu de paramètres. En plus de Certbot, il existe de nombreux autres clients ACME .

Le rôle important de Let's Encrypt

Let's Encrypt a révolutionné un marché où les autorités de certification commerciales dominaient. Désormais, ils ne sont pratiquement plus en mesure d'émettre des certificats DV (certificats de validation de domaine, validation de domaine), bien qu'ils continuent de vendre des certificats de confirmation d'organisation (validation d'organisation, OV) et des certificats de haute fiabilité (validation étendue, EV), que Let's Encrypt ne délivre pas, car ils ne peuvent pas être automatisés. Cependant, il s'agit d'un produit de niche et les certificats gratuits Let's Encrypt règnent en maître sur le marché de masse.

Let's Encrypt a fait de la réémission automatique des certificats la norme. Malgré leur courte durée de vie (90 jours), la procédure automatique élimine le «facteur humain», qui représente traditionnellement la principale vulnérabilité de sécurité. Les administrateurs de domaine oublient souvent de renouveler leurs certificats, c'est pourquoi les services échouent. Le dernier incident de ce type s'est produit avec Microsoft Teams. Le 3 février 2020, ce service de collaboration a été mis hors ligne en raison d'un certificat expiré .

Le remplacement automatique des certificats via ACME élimine la possibilité de tels incidents.

Bien que le projet Let's Encrypt dessert la moitié d'Internet, dans le monde physique, il s'agit d'une petite organisation à but non lucratif: «Au cours des deux dernières années et demie, notre organisation a grandi, mais pas mal! Ils écrivent. - En juin 2017, nous avons desservi environ 46 millions de sites Web avec 11 employés à temps plein et un budget annuel de 2,61 millions de dollars. Aujourd'hui, nous desservons près de 192 millions de sites Web avec 13 employés à temps plein et un budget annuel d'environ 3,35 millions de dollars. Cela signifie que nous desservons plus de quatre fois plus de sites avec seulement deux employés supplémentaires et une augmentation de 28% du budget. »

Le soutien au projet passe par des dons et des parrainages .

À ce jour, HTTPS est devenu la norme de facto sur Internet. Depuis l'année dernière, les principaux navigateurs ont averti les utilisateurs des dangers de se connecter à des sites qui ne chiffrent pas le trafic via HTTPS. Le mérite de Let's Encrypt est un tel changement dans le paysage de la sécurité.

Pour tout le reste, Let's Encrypt a littéralement relancé l'infrastructure des serveurs XMPP publics . Maintenant, Jabber fonctionne avec un cryptage fort à la fois au niveau client-serveur et serveur-serveur, et la majorité absolue des certificats ont été émis par Let's Encrypt.



"En tant que communauté, nous avons fait des choses incroyables pour protéger les gens sur Internet", a déclaré le communiqué de presse . «La délivrance d'un milliard de certificats est une confirmation de tous les progrès que nous avons réalisés en tant que communauté.»