Let’s Encrypt a délivré un milliard de certificats SSL gratuits au cours des quatre dernières années.

Let’s Encrypt, une autorité de signature de certificats (CA) gratuite, automatisée et ouverte, créée par le groupe de recherche à but non lucratif Internet Security Research Group (ISRG), a annoncé qu’elle avait émis un milliard de certificats SSL gratuits au cours des quatre dernières années. émis un milliard de certificats depuis son lancement en 2015.

L’AC a publié son premier certificat en septembre 2015, avant d’atteindre finalement 100 millions en juin 2017. Depuis la fin de l’année dernière, Let’s Encrypt a émis au moins 1,2 million de certificats chaque jour.

Cette évolution intervient alors que plus de 80 % des chargements de pages Web ont commencé à utiliser des certificats de sécurité. HTTPS dans le monde entieret 91 pour cent rien qu’aux États-Unis.

HTTPS, le moyen de communication sécurisé par défaut sur l’internet, présente trois avantages : l’authentification, l’intégrité et le cryptage. Il permet aux requêtes HTTP d’être transmises par un canal crypté sécurisé, protégeant ainsi les utilisateurs de toute une série d’activités malveillantes, notamment la falsification de sites et la manipulation de contenus.

« Depuis 2017, les navigateurs ont commencé à exiger le HTTPS pour davantage de fonctionnalités, et ils ont grandement amélioré la façon dont ils communiquent à leurs utilisateurs les risques liés à la non-utilisation du HTTPS », a déclaré l’entreprise. « Lorsque les sites Web font courir des risques à leurs utilisateurs en n’utilisant pas le HTTPS, les principaux navigateurs affichent désormais des avertissements plus forts. De nombreux sites ont réagi en déployant le protocole HTTPS. »

Lancé dans le but d’accélérer le taux de cryptage du Web et de réduire les coûts liés à l’activation du HTTPS, le protocole ACME (Automatic Certificate Management Environment) de Let’s Encrypt offre un moyen facile pour de mettre en place et d’émettre des certificats SSL qui peuvent être renouvelés et remplacés sans intervention manuelle des webmasters.

Le site de l’Electronic Frontier Foundation Certbot est l’un de ces clients ACME populaires, à code source ouvert et gratuit, qui permet d’activer le HTTPS sur les sites Web en déployant automatiquement des certificats Let’s Encrypt – qui sont des certificats d’accès à Internet. valables uniquement pendant 90 jours – et la gestion des renouvellements.

Mais avec les mauvais acteurs abusant des certificats Let’s Encrypt HTTPS pour masquer le trafic malveillant et diriger les utilisateurs peu méfiants vers des sites malveillants, la société a pris des mesures pour « garantir qu’un demandeur de certificat contrôle réellement le domaine pour lequel il souhaite obtenir un certificat ».

Apple fait un grand pas en avant

Mais ce n’est pas tout. Apple a réussi à faire ce que la plupart des CA hésitaient à accomplir pendant tout ce temps : réduire à un an la validité maximale des certificats émis.

Le géant de la technologie a récemment annoncé qu’à partir du 1er septembre 2020, Safari rejettera les nouveaux certificats HTTPS qui expirent plus de 13 mois (ou 398 jours) après leur date de création, ce qui réduira effectivement la durée de validité maximale des certificats. durée de vie maximale des certificats de 825 jours.

Ceci fait suite à un vote raté organisé en septembre dernier par le CA/Browser Forum pour réduire la durée de vie des certificats. Bien que Let’s Encrypt, certSIGN, Apple, Cisco, Google, Microsoft, Mozilla et Opera aient voté en faveur de cette mesure, près des deux tiers des AC participantes ont rejeté l’idée.

La décision d’Apple de raccourcir la durée de vie des certificats HTTPS signifie que les AC comme Let’s Encrypt et les clients ACME comme Certbot ne feront que gagner en valeur à l’avenir, car cela obligerait les administrateurs de sites Web à utiliser un certificat émis pour un an ou moins.

Comment les certificats à courte durée de vie augmentent-ils la sécurité ?

La limitation de la durée de vie des certificats améliore la sécurité des sites Web, notamment parce qu’elle réduit la possibilité que des criminels volent des certificats négligés pour monter des attaques de phishing et de logiciels malveillants.

Deuxièmement, les versions mobiles de Chrome et de Firefox ne vérifient pas de manière proactive l’état des certificats, ce qui signifie qu’un site Web dont le certificat a été révoqué continuera à se charger sans que l’utilisateur en soit averti.

Ceci est pour des raisons de performance car les navigateurs devront finir par télécharger les listes de révocation de certificats (CRL) qui peuvent être de taille assez importante, ce qui affecte le chargement des pages.

Au lieu de cela, Chrome utilise CRLSets pour « bloquer les certificats dans les situations d’urgence », tandis que Mozilla a expérimenté avec CRLite dans ses constructions nocturnes.

En plus de ces techniques, le fabricant de Firefox a également annoncé les spécifications techniques d’un nouveau protocole cryptographique appelé « Délégation d’informations d’identification pour TLSqui « permet aux entreprises de prendre le contrôle partiel du processus de signature de nouveaux certificats pour elles-mêmes, avec une période de validité ne dépassant pas 7 jours et sans dépendre entièrement de l’autorité de certification ».

Il va sans dire que la décision d’Apple de réduire la durée de vie des certificats est un grand pas en avant pour la sécurité. Et si elle contribue à empêcher de manière proactive les utilisateurs de se connecter à des sites web compromis, cela ne peut être qu’une bonne chose.