L’EFF, Cisco ainsi que leurs partenaires souhaitent généraliser le déploiement de TLS, notamment en facilitant l’accès aux certificats. Le lancement en 2015 de l’initiative “Let’s Encrypt” a pour but la création d’une nouvelle autorité à même de délivrer gratuitement et automatiquement des certificats sécurisés.
Tout d’abord une évidence : chiffrer, c’est compliqué, long et souvent coûteux. Alors que se multiplient les appels à un chiffrement généralisé du web suite aux révélations d’Edward Snowden, l’EFF, Cisco, Mozilla, Akamai et Identrust annoncent un partenariat visant à simplifier le déploiement de TLS/SSL sur le Web à travers l’initiative Let’s Encrypt. L’objet de ce partenariat est de proposer à partir du second semestre 2015 une nouvelle autorité de certification qui proposera de délivrer gratuitement et de manière automatisée les certificats nécessaires au déploiement d’un chiffrement de type SSL/TLS.
L’EFF explique sur son blog que cette initiative est née d’un constat de la part de ces différents acteurs : si le protocole HTTP est rapidement devenu un standard largement utilisé, le HTTPS reste à la traîne. Selon eux, le principal obstacle à un déploiement à grande échelle est « la complexité, la bureaucratie et les coûts liés à la génération de certificats nécessaires à HTTPS ».
Let’s encrypt entend simplifier tout cela et, si le projet tient ses promesses, cela pourrait effectivement largement simplifier les choses : sur le site, les développeurs de Let’s Encrypt promettent de facilement passer un site web sous HTTPS via deux simples ligne de commande. Le service sera entièrement automatisé grâce à un protocole nommé ACME actuellement en développement. Gratuit, extrêmement simple, cela semble presque trop beau pour être vrai et il faudra attendre le lancement du service au second semestre 2015 pour juger. Cela aura aussi pour effet bénéfique de faire disparaître à la longue les erreur de certificats non sécurisé (auto-signés) utilisés par certains.
En attendant, les différentes technologies développées par Let’s Encrypt son proposées en open source via github. L’occasion donc d’aller fourrer son nez dans ce fameux protocole d’automatisation et de dénicher les possibles failles de sécurité. Après avoir largement critiqué le système actuel de mise en place et de vérification des certificats, nul doute que l’EFF sera attendue au tournant sur cette initiative qui entend simplifier ce système.
Source : ZDNet
“Cela aura aussi pour effet bénéfique de faire disparaître à la longue les erreur de certificats non sécurisé (auto-signés) utilisés par certains.” : les certificats auto-signés ne sont pas moins sécurisés que les autres. C’est un problème d’authenticité et non de sécurité, il ne faut pas mélanger les deux.
Les commentaires sont fermés.