Let’s Encrypt : un certificat SSL gratuit et reconnu par tous les navigateurs

Vous vous demandez peut être de quoi je parle. Un certificat SSL (ou Secure Socket Layer) indique que le site sur lequel vous naviguez est sécurisé. Qu’est cela signifie exactement ? Tout d’abord, cela vous garantit que le site est bien celui qu’il prétend être et ensuite, cela indique que les échanges entre le serveur et votre terminal sont cryptés. Les exemples les plus connus sont les sites web permettant de gérer vos comptes bancaires. Dès que vous êtes identifiés, vous basculez sur un espace sécurisé matérialisé par un « https » et par un cadenas vert présent devant l’url du site web. Avoir un site sécurisé signifie qu’il faut détenir un certificat SSL. Même si cela existe depuis longtemps, cela devient encore plus d’actualité depuis que Google a indiqué qu’il privilégierait les sites sécurisés (pour le référencement) et que les navigateurs Firefox et Chrome informeront les utilisateurs quand un site ne l’est pas.

Il existe plusieurs sociétés auprès desquelles il est possible d’acquérir un certificat (coût à renouveler en fonction de la formule choisie) mais son installation n’est pas très simple, surtout pour les néophytes. N’étant pas un spécialiste non plus, je ne vous proposerai pas un tutoriel. Je vais plutôt vous parler d’une solution pouvant vous simplifier la vie ou plutôt vous permettre de sécuriser votre site sans coût supplémentaire. Il y a tout de même une chose à savoir si vous passez en https, l’accès à votre site et la navigation entre les pages risquent d’être un peu plus longue. Ce nouvel acteur parmi les organismes habilités à délivrer des certificats SSL s’appelle Let’s Encrypt. Il va vous faire économiser de l’argent et vous faire gagner un peu de temps ou vous éviter d’en perdre trop avec l’installation d’un certificat.

Let’s Encrypt est un projet Open Source qui est financé par de grandes entreprises dont les noms vous disent probablement quelque chose, au moins pour certains d’entre eux : Mozilla, Akamai, Cisco, EFF (Electronic Frontier Foundation) et IdenTrust.

D’après le communiqué disponible ici, les services de Let’s Encrypt devaient être disponibles depuis de mi-septembre. Une mise à jour de leur blog en date du 19/10/2015 ainsi que cette page nous apprennent que dorénavant, les certificats délivrés par cette instance sont reconnus par les navigateurs les plus connus. En cliquant sur le cadenas vert devant le lien de cette page, vous obtiendrez les informations confirmant la bonne interprétation du navigateur.

D’après le site, de simples commandes permettront d’effectuer une demande de certificat et d’authentification puis de configurer les serveurs Apache ou Nginx. Le renouvellement et la révocation d’un certificat pourront également s’effectuer de la même façon.

Vous êtes curieux et/ou ce sujet vous intéresse, alors je vous invite à consulter le site de Let’s Encrypt ou la page FAQ, vous y trouverez toutes les réponses à vos éventuelles interrogations. Une démo vidéo est également disponible ci-dessous.

https://youtu.be/Gas_sSB-5SU