Let's Encrypt, le projet de certificat chiffré gratuit lancé par l'Electronic Frontier Foundation (EFF) a le vent en poupe. Il a été fait en partenariat avec l'Internet Security Research Group ainsi que d'autres acteurs, dont Mozilla, Cisco, Akamai, Facebook ou encore OVH, Free et Gandi. Passé en bêta publique en décembre dernier, ce projet vient en effet de franchir le cap du million de certificats délivrés.
Ces certificats couvrent actuellement 2,5 millions de noms de domaines, la plupart d'entre eux n'ayant jamais implémenté de certificats SSL/TLS permettant de chiffrer une session web entre un système tiers et celui d'un utilisateur. Ces sessions sécurisées sont symbolisées depuis plusieurs années dans les navigateurs par un cadenas vert. « Beaucoup de travail reste encore à faire avant de mettre Internet à l'abri des protocoles non sécurisés, mais il s'agit d'une progression significative et rapide », s'est réjouit l'EFF dans un billet de blog.
Une alternative intéressante mais perfectible par rapport aux offres payantes
Ces dernières années, il y a eu une accélération des actions visant à encourager les sites web à mettre en oeuvre des certificats SSL/TLS pour lutter contre les menaces grandissantes en matière de cybercrime, brèches de données et autres plans de surveillance étatique. Google, Yahoo et Facebook ont notamment pris des mesures pour sécuriser leurs services. Les certificats SSL/TLS du marché sont fournis notamment par Verisign et Comodo qui les proposent aux administrateurs de sites web pour des montants grimpant jusqu'à près de 800 euros. Les certificats Let's Encrypt apparaissent comme une bonne alternative, en particulier pour les sites qui n'en sont pas équipés, même si les clés RSA générées par défaut ne sont que de 2048 bits, une taille déconseillée par l'ANSSI au profit de 3072 bits.