Google l’a dit : les sites sécurisés avec un certificat SSL sont favorisés dans les résultats de recherche. Les navigateurs Chrome et Firefox emboîtent le pas en indiquant qu’ils mettront en garde les internautes lorsque le site n’est pas en HTTPS. Le scandale Snowden entérine la nécessité de crypter les échanges sur le web. Il ne manquait plus qu’un service simple pour se procurer et installer un certificat SSL gratuit : Let’s Encrypt.
Pourquoi installer un certificat SSL gratuit
Tout d’abord, comprenons l’utilité d’un certificat SSL gratuit :
- Pour s’assurer que le serveur à qui on demande la page web est bien celui qu’il prétend être
- Pour crypter les données circulant sur le web (notamment les données sensibles comme les numéros de carte bancaire, les mots de passe, les emails, les données de CRM, la visioconférence, etc.)
- Pour obtenir un meilleur positionnement dans le moteur de recherche Google (et probablement les autres également)
- Pour que le site web ne soit pas qualifié de « non sécurisé » par certains navigateurs web comme Chrome et Firefox
- Pour profiter de la future version de l’HTTP améliorant la vitesse de chargement des pages web : le HTTP/2
A voir également : Mettre un site WordPress en HTTPS sans certificat SSL
Les difficultés de la mise en place d’un certificat SSL
On peut donc conclure que le protocole HTTPS devrait être un standard sur Internet, mais ce n’est pas le cas. Et pour cause :
- Un certificat SSL n’était pas gratuit (la redevance est annuelle et peut atteindre plusieurs centaines d’euros)
- L’installation d’un certificat SSL sur un serveur peut s’avérer être une opération complexe et chronophage
- Le cryptage SSL entraîne une augmentation du temps de réponse du serveur, engendrant une dégradation de la rapidité de chargement de la page
C’est pour résoudre les deux premiers problèmes que le système de certificat SSL gratuit « Let’s Encrypt » intervient.
Let’s Encrypt, une nouvelle et innovante Autorité de Certification gratuite
Une autorité de certification (en anglais « Certificate Authority » ou « CA ») est un organisme habilité à délivrer des certificats SSL après avoir effectué un certain nombre de vérification sur le propriétaire du domaine.
Let’s Encrypt propose deux grandes innovations :
- Fournir des certificats SSL gratuits
- Permettre l’installation des certificats SSL gratuits de manière automatisée en moins de 5 minutes
En soi, c’est réellement révolutionnaire.
Le service Cloudflare propose lui aussi la possibilité de bénéficier gratuitement d’un certificat SSL avec une installation facile, mais il s’agit d’un certificat dont le propriétaire est Cloudflare et qui a quelques autres petits inconvénients.
Let’s Encrypt est un projet Open Source (dont vous pourrez obtenir le code ici Let’s Encrypt sur GitHub) et est financé par de grands noms du web : Mozilla, Akamai, CISCO, EFF et IdenTrust.
D’ailleurs je me demande bien qu’attendent ces entreprises en retour, quel est le business model de Let’s Encrypt… Si quelqu’un le sait, qu’il n’hésite pas à le dire en commentant cet article.
Comment installer un certificat SSL gratuit Let’s Encrypt
L’installation d’un certificat SSL gratuit de Let’s Encrypt est vraiment d’une facilité déconcertante. Cependant, il vous faudra tout de même un accès root à votre serveur et avoir des notions (élémentaires) de Linux. Il existe des tutoriaux vidéos en ligne pour vous expliquer pas à pas comment installer Let’s Encrypt sur votre serveur.
Voici les deux lignes de codes qui permettent d’installer le certificat SSL pour stileex.xyz sur un serveur tournant sous Ubuntu par exemple :
$ sudo apt-get install lets-encrypt
$ lets-encrypt stileex.xyz
De plus, si votre hébergeur web vous met à disposition à gestionnaire cPanel ou Plesk, alors il y a une option d’installation automatisée directement ces interfaces. Un novice pourra sans aucune difficulté et en quelques clics installer son propre certificat SSL gratuit.
Quand le service Let’s Encrypt sera disponible ?
L’ISRG (Internet Security Research Group), organisme développant et gérant Let’s Encrypt, prévoit l’ouverture du service au public pour l’été ( l’été de l’hémisphère nord ;) ) 2015.
Bien sûr, je surveillerai de près l’évolution de ce projet car comme je l’ai dit, il est révolutionnaire et répond à un besoin de plus en plus incontournable sur Internet.
Je mettrai donc régulièrement cet article à jour (vous pouvez vous abonner à ma newsletter en cliquant ici).
02/11/2016 : Let’s Encrypt lance une campagne de crowdfunding sur Indiegogo pour se financer
2017 : Let’s Encrypt est un service pleinement fonctionnel pour le grand public. Tout le monde peut avoir son certificat SSL gratuit :)
Connaissez-vous un autre service similaire? Avez-vous d’autres informations sur Let’s Encrypt? Avez-vous des questions? Alors n’hésitez pas à commenter cet article :)
Bonjour,
Je n’ai aucune compétence en codage, je suis en cours de réalisation de mon site internet hébergé par gandi et en wordpress… Quelqu’un pourrait il m’aider à l’obtention gratuite du certificat SSL ?
Merci beaucoup pour une éventuelle aide !!!
Hello
Un grand merci pour cette explication qui réponds à bien des questions. Même si cet article date un peu, on peut voir que comme promis il est maintenu à jour. Et déjà rien que pour cela, un grand merci.
Au passage, je n’ai trouvé le lien pour s’abonner à votre news-letter.
Enfin, je tiens à remercier les Molières et autres BJ qui ont réussi par leur esprit de suffisance à nous faire sourire à la fin de la lecture d’un article sérieux.
Merci pour tout Simon. Bonne suite à vous
Merci YVB :)
Pour la newsletter, tu peux trouver le lien en bas de page, dans le footer.
Bonjour,
il y a une petite différence en les termes déchiffrer et décrypter.
On dit chiffrer et déchiffrer quand on a la clé de chiffrement. On dit décrypter quand on casse le chiffrement pour accéder à la données sans posséder la clé.
Bonjour,
je cherche une solution gratuite pour ne plus avoir la mention non securisé sur ma page web perso chez Free. Je n’écris pas de lignes de codes. Mon site a été fait avec Apple iweb. J’ai cherché les tutoriaux que vous signalez et je n’ai trouvé que des logiciels de montage video.
merci pour votre aide
Bonjour,
Je vous conseille de contacter Free et de leur demander de vous mettre un certificat SSL Let’s Encrypt gratuit.
est-ce que je peux passer de http à https même chez free ?
est-ce que avec ce certificat, je peux passer de http à https chez free ?
Merci pour ces informations très complètes sur le SSL
Bonjour Stileex, est-ce qu’il est possible d’utiliser le certificat SSL Let’s Encrypt quand on a un site hébergé chez OVH ? Je m’explique : je ne souhaite pas utiliser le certificat SSL disponible par OVH (même si je crois que c’est la même boîte qui fournie le certif SSL cad Let’s Encrypt. En gros je ne souhaite pas exactement le même certificat SSL sur tous mes sites. Merci pour ta réponse.
Bonjour Vincent, le mieux est de poser la question à OVH. De ce que j’en sais, OVH n’est pas la boîte qui gère Let’s Encrypt, mais c’en est un donateur et un membre actif. Les certificats SSL gratuits offerts par OVH sont déjà des Let’s Encrypt à ma connaissance.
Oui aucun problème pour utiliser Let’s Encrypt sur du serveur OVH, les méthodes de mises en place varient néanmoins selon l’offre souscrite (mutu, vps, etc…) et plus concrètement si tu as la main pour prendre ton serveur en ssh.
Un grand merci pour ces informations, malgré la mise en place de Let’s Encrypt sur Windows10 Server apache au quelle il manque d’informations concernant les erreurs…
Concernant le business model de Let’s Encrypt, il faudrait peut-être se tourner du côté de la NSA.
Bonjour,
Je suis vraiment intéresser par ça car je possède un site web et je voudrais le mettre en https mais je ne m’y connais vraiment pas en configuration ( oui je suis nul les amis ) , si vous pourriez m’aider j’en serais ravis !
Cordialement
Bien à vous
Fuyez. Quand vous voyez qqun donner des explications sur les certificats et qu’il dit « crypté » a la place de « chiffré » c’est la même différence qu’entre un chirurgien et un boucher.
Le cryptage est basé sur la méthode RSA (clé publique / clé privée), et plus fondamentalement sur les propriétés des nombres premiers. Donc cryptage = chiffrage.
Vous n’avez sans doute pas vraiment cherché à comprendre le message de BJ. Le verbe « crypter » n’existe pas en français.
Il faudrait que vous ouvriez un dictionnaire de temps en temps car le verbe crypter existe bel et bien M. le pseudo défenseur de la langue française : http://www.larousse.fr/dictionnaires/francais/crypter/20845