Géré par le groupe de recherche sur la sécurité Internet (ISRG), le projet Let’s Encrypt est soutenu, entre autres, par Mozilla, l'Electronic Frontier Foundation (EFF), Cisco et Akamai. L’idée du projet est de distribuer des certificats SSL/TLS (Secure Socket Layer/Transport Layer Security) gratuits, afin d’étendre le cryptage des données échangées entre un site Web et les utilisateurs. Dans la plupart des navigateurs, on reconnaît qu’un site est sécurisé SSL/TLS quand l’adresse commence par « https » et qu’un cadenas apparaît dans la barre URL. Le trafic Web non crypté présente des risques de sécurité. Par exemple, un attaquant peut récupérer le trafic Web d’un internaute qui se connecte à un hotspot Wi-Fi, et voler des données sensibles.
La vente de certificats SSL/TLS est une activité florissante : les certificats sont rarement bon marché et ils expirent après un certain temps. Ce coût rebute certains propriétaires de sites Web, en particulier pour des sites dont le trafic reste modeste. Let’s Encrypt veut « révolutionner le chiffrement des sites Web en rendant l’https transparent et gratuit pour tous ceux qui possèdent un nom de domaine », a écrit Rainey Reitman, le directeur de la campagne de promotion de l’EFF. Le premier certificat livré par le projet est destiné à l’un de ses propres domaines, et fait office de test pour prouver que le système fonctionne. « Dans les deux prochains mois, le groupe commencera à émettre des certificats pour des domaines qui participent à son programme bêta, et ensuite pour plusieurs sites Web », a écrit dans un blog Josh Aas, directeur exécutif de l’ISRG.
Le certificat racine de l’ISRG validé par IdenTrust le mois prochain
Pour autoriser le premier certificat du projet, les utilisateurs devront installer un certificat racine de l’ISRG dans leur navigateur ou un autre logiciel client. Mais c’est un problème temporaire, dans la mesure où dans un mois environ le certificat racine de l’ISRG sera validé par l’autorité de certification IdenTrust qui est aussi l'un des principaux bailleurs de Let‘s Encrypt. Une fois en place, les certificats de l’ISRG seront reconnus par presque tous les navigateurs. Des entreprises technologiques de premier plan comme Google, Yahoo et Facebook poussent également à un usage plus large du cryptage pour contrecarrer notamment les programmes de surveillance mis en place par les gouvernements, mais aussi pour se protéger contre une cybercriminalité de plus en plus active.
Commentaire