Let's Encrypt annonce l'arrivée des certificats génériques

Par:
fredericmazue

mer, 14/03/2018 - 11:54

Beaucoup considèrent que SSL devrait être employé systématiquement sur Internet, et Google a même annoncé il y a quelques temps que la présence de SSL serait un des critères positifs pour le référencement d'un site. Mais avoir un site web 100% sécurisé se heurte bien sûr à des problèmes pratiques.

Notamment, jusqu'à il y a encore peu, les certificats SSL coûtaient assez chers. De plus leur installation sur un serveur n'est pas chose aisée pour qui n'est pas administrateur système.

Pour remédier à cela, l'EFF (Electronic Frontier Foundation) a lancé le projet Let's Encrypt qui délivre des certificats SSL gratuits depuis l'été 2015.

De plus Let's Encrypt fourni une suite d'outils qui permettent d'obtenir, installer et renouveler des certificats extrêmement facilement.

Let's Encrypt est un succès avec 47 million de domaines ainsi protégés, depuis 2015.

Un autre problème est la gestion de nombreux sous-domaines. Ceux-ci vont nécessiter chacun un nouveau certificat s'ils n'ont pas été inclus lors de la génération du certificat pour le domaine principal. C'est ici qu'interviennent les certificats génériques que Let's Encrypt avait annoncé pour le début de cette année, et qui arrivent en fait aujourd'hui.

Un certificats SSL générique est défini comme ceci par exemple *.mon-domaine.com. Ainsi un seul certificat et une seule paire de clés permet de sécuriser non seulement mon-domaine.com mais aussi par exemple video.mon-domaine.com, data.mon-domaine.com, etc.

L'installation d'un tel certificat impose toutefois d'ajouter un enregistrement TXT DNS afin de démontrer le contrôle sur un domaine pour l'obtention d'un certificat générique. Enfin, les certificats génériques sont uniquement disponibles via ACMEv2 ce qui implique l'utilisation d'un client qui a été mis à jour pour obtenir un tel certificat.