Let’s Encrypt : l’autorité de certification peine encore à trouver son indépendance


Publié le 18-11-2020 par Modérateur FREELANCE INFO



Gratuite, automatique, sécurisée, transparente, ouverte, coopérative… Mais pas tout à fait indépendante : l’autorité de certification Let’s Encrypt peine encore à s’émanciper d’IdenTrust. Freelance-info fait le point sur la situation. 

Qu’est-ce que Let’s Encrypt ?

  • Let’s Encrypt désigne une autorité de certification (AC ou CA pour Certification Authority) qui délivre des certificats à validation de domaine (Domain Validated ou DV) d’une durée de 90 jours. 
  • Gratuite, automatisée et ouverte, elle est exploitée pour le bénéfice du public.  
  • Le service est fourni par Internet Security Research Group (ISRG). 
  • Les utilisateurs bénéficient ainsi des certificats numériques dont ils ont besoin pour activer HTTPS (SSL/TLS) pour les sites web, gratuitement, donc, mais aussi de la manière la plus intuitive possible. 
  • L’objectif : créer un Web plus sûr et respectueux de la vie privée. Pour en savoir plus sur le sujet, l’ISRG édite chaque année un rapport (en anglais), visible ici pour l’année 2019

Six principes clés autour de l’autorité de certification 

  • La gratuité. Quiconque titulaire d’un nom de domaine peut utiliser totalement gratuitement Let’s Encrypt. 
  • L’automatisation. Grâce à un logiciel s’exécutant sur un serveur web et interagissant avec Let’s Encrypt, il est possible d’obtenir simplement un certificat, de le configurer et de l’utiliser de manière sécurisée, et de prendre automatiquement en charge son renouvellement. 
  • La sécurité. L’autorité de certification servira de plate-forme pour faire avancer les meilleures pratiques en matière de sécurité TLS. 
  • La transparence. L’ensemble des certificats délivrés ou révoqués sont enregistrés publiquement et disponibles pour inspection par qui le souhaite. 
  • L’ouverture. Le protocole d’émission et de renouvellement automatique est publié en tant que norme ouverte adoptable par tout utilisateur. 
  • La coopération. L’effort conjoint autour de Let’s Encrypt se fait au bénéfice de la communauté, au-delà du contrôle d’un organisme en particulier. 

Une prise d’indépendance cependant contrariée par l’obsolescence du parc Android 

  • Un principe fait toutefois encore défaut à l’autorité de certification : l’autonomie
  • Si dans l’absolu, elle vole déjà de ses propres ailes sous l’égide d’ISRG (financée notamment par l’EFF et Mozilla), sa prise d’indépendance est retardée par la non-intégration de son certificat racine sur de nombreux terminaux Android. 
  • Let’s Encrypt reste ainsi dépendante d’IdenTrust, fournisseur de certificats numériques qui propose la base de solutions d’identité fiables reconnues par les établissements financiers, les agences gouvernementales et les entreprises du monde entier. 
  • Le lien avec IdenTrust date de 2015, alors que Let’s Encrypt commence à émettre son certificat racine ISRG Root X1. Dans l’attente d’une mise en liste blanche par les éditeurs de navigateurs et de systèmes d’exploitation, ce dernier fait l’objet d’une signature via un certificat tiers : celui d’IdenTrust, DST Root X3
  • Si ISRG Root X1 figure depuis 2018 sur la liste des certificats de confiance dans les principaux OS et navigateurs, la compatibilité descendante connaît des limites, notamment sur Android : à moins d’avoir bénéficié d’une mise à jour spécifique, les versions antérieures à la 7.1 (sortie en août 2016) ne prennent pas en charge ISRG Root X1. 
  • Ce sont ainsi plus d’un tiers des appareils Android en circulation qui sont concernés, avec le risque pour les utilisateurs de faire face à des erreurs lors de la tentative de connexion à des sites recourant à ISRG Root X1. 
  • Peu optimiste ni enclin à s’engager avec une autorité tierce, Let’s Encrypt joue la montre en attendant l’expiration du certificat DST Root X3 annoncée pour le 30 septembre 2021. 
  • Le 11 janvier 2021, un changement sera cependant effectué sur l’API, dans l’objectif de fournir par défaut aux sites web des certificats liés directement à ISRG Root X1, et non plus à DST Root X3. 
  • Ce sera cela dit aux éditeurs de trancher, soit en abandonnant les vieux appareils, soit en basculant en HTTP non sécurisé, soit en changeant de certificat racine… Let’s Encrypt propose pour sa part de demander aux utilisateurs concernés d’installer Firefox Mobile, compatible jusqu’à Android 4.1 et qui n’utilise pas la liste de certificats Android, puisqu’il dispose de la sienne, maintenue à jour. 

 

Affaire à suivre ! 

Pour tout savoir sur Let’s Encrypt, consultez son riche espace de documentation en ligne

Suivez sur notre blog l’actualité des métiers de l’IT et trouvez votre prochaine mission sur Freelance-info.fr !

 



Modérateur FREELANCE INFO