Zoom sur l'autorité de certification Let's Encrypt

Dans le numéro 91 de Linux Pratique, nous avons décrit comment mettre en œuvre de manière sécurisée l'accès via TLS à votre site web. Mais la relative complexité de la procédure ou le coût d'achat des certificats numériques pouvait compliquer cette mise en oeuvre. Une initiative a été lancée par Mozilla, l'EFF et d'autres partenaires pour s'attaquer à ces difficultés : Let's Encrypt.

En novembre 2014, le projet Letsencrypt, lancé par Mozilla, Cisco, Akamai, EFF et Identrust, permet désormais d'héberger des sites en HTTPS presque aussi facilement qu'en HTTP. Dans cet article, nous allons vous raconter l'histoire de Letsencrypt, son fonctionnement, ses limites, et l'avenir qu'il promet à l'industrie de l'hébergement.

Cet article présente les bénéfices de l’utilisation de Let’s Encrypt en entreprise, les difficultés rencontrées, ainsi qu’un exemple d’application à l’aide d’un serveur proxy ou mandataire.

L’autorité de certification (AC) Let’s Encrypt a ouvert son service au public le 12 avril 2016. La part du trafic web chiffré ne cessa alors d'augmenter pour représenter actuellement près de 90% du trafic total. Sur le plan technique, Let’s Encrypt a pu réaliser un tel exploit notamment grâce à ACME, son protocole normalisé par l’IETF d’obtention automatisée de certificats. De nombreux clients ACME en ligne de commandes ont été développé et ont répondu à beaucoup de cas d’usage. Plus récemment, une étape supplémentaire a été franchie avec l’intégration de l’obtention de certificats Let’s Encrypt directement au sein de composants d'infrastructures comme HAProxy, Traefik ou les serveurs web Caddy et Apache et son module mod_md. C’est de ce dernier dont nous allons parler ensemble aujourd’hui.