Depuis quelques années déjà, le problème du chiffrement des communications sur Internet est un sujet chaud et sensible. Entre respect de la vie privée et donc des communications électroniques interpersonnelles d’une part et une volonté désormais assumée de nombreux états (dont la France, quel scandale …) de rentrer dans le cercle vicieux de la surveillance électronique de masse d’autre part, il est difficile de réellement se protéger des oreilles TRES indiscrètes lorsque l’on est simple Internaute.
Pourtant, il existe un moyen simple de contrecarrer ces plans et les moyens associés, ou, tout du moins, de les rendre inefficaces ou contre productifs : le chiffrement de bout en bout de toutes nos communications. Malheureusement, historiquement, la plupart des tiers de confiance capables de fournir des certificats SSL reconnus et valides sur la plupart des plateformes ont quasiment toujours monnayé leurs services (à prix d’Or, souvent). Un Certificat SSL coûte donc relativement cher et c’est un frein évident à l’adoption du “tout chiffré”. Certes, il existe quelques fournisseurs de certificats qui proposent de temps en temps des service gratuits, mais ils sont en général contraignants et peu pratiques.
Mais, ça, c’était avant l’arrivée de l’initiative “Let’s Encrypt”, portée par l’ISRG, acronyme de “Internet Security Research Group”. Cette association à but non lucratif, soutenue par nombre de grands groupes commerciaux (voir la page des sponsors de leur site, ici) a pour objectif de fournir, ENFIN, une autorité de certification reconnue par les navigateurs (au même titre que les autres autorités historiques) et capable de délivrer des certificats SSL modernes (SHA-256) gratuitement après validation simple de la légitimité du demandeur.
Let’s Encrypt s’appuie sur une infrastructure technique très robuste respectant l’ensemble des contraintes (fortes !) associées à la fourniture de certificats SSL reconnus par une racine de confiance, autorité de certification intégrée directement dans la plupart des navigateurs récents. Pour l’instant, afin laisser le temps à la plupart des développeurs de navigateurs et autres solutions “clientes” d’accès à des ressources web d’intégrer le RootCA de Let’s Encrypt, les certificats délivrés (en bêta privée actuellement) sont signés par l’autorité racine de la société IdenTrust, partenaire de l’association. A terme ils seront bien entendu signés directement par la racine Let’s Encrypt uniquement. Si vous souhaitez en savoir plus sur ces aspects, rendez-vous ici.
Techniquement parlant, étant donné que l’ISRG compte sur un nombre potentiel très important de demandes de certificat, elle a choisi de travailler non pas via une interface web interactive classique, mais via l’utilisation d’un “client” en ligne de commande. Celui-ci s’occupe de générer les clefs privées (à conserver bien au chaud sur son ou ses serveurs) ainsi que les CSR, puis de les soumettre directement aux serveurs de Let’s Encrypt. Il s’occupe aussi de valider cette demande en fournissant les garanties nécessaires à l’autorité. Il y a tout un process de validation que je ne vais pas détailler ici mais que vous pouvez consulter ici. En substance, l’objectif est de vérifier que vos demandes sont bien légitimes via un certain nombreu de vérification par contrôle d’enregistrement des domaines associés (dont vous devez évidemment être le propriétaire).
Let’s Encrypt est encore, comme déjà indiqué, en phase de bêta privée. Malgré tout, vous pouvez soumettre vos demandes de certificats en indiquant la liste des domaines que vous souhaitez sécuriser, ils seront par la suite ajoutés à la liste de blanche des domaines susceptibles d’être associés à des certificats. Utilisez pour cela ce formulaire GoogleDoc. En général, vous obtenez le droit de tester assez rapidement. Pour le moment, l’ouverture de la bêta publique est prévue le 3 Décembre prochain.
Et histoire de vous montrer que ça marche, vous noterez que désormais, vBlog.io est full SSL grâce à un certificat Let’s Encrypt :)
Vous n’avez donc plus AUCUNE excuse pour ne pas définitivement sécuriser vos sites web, serveurs IMAP et autre cloud personnels !
Let’s Encrypt !