Bonjour à tous et bienvenue dans le ZD Tech, le podcast de la rédaction de ZDNet. Je m’appelle Louis Adam et aujourd’hui, je vais vous expliquer pourquoi Let’s Encrypt a changé la face du web.

En un peu moins de 10 ans d’existence, ce projet a démocratisé le chiffrement. Son arme secrète pour y parvenir ? Proposer des certificats électroniques gratuits ET de manière automatisée. Et donc permettre à n’importe qui de chiffrer le trafic de ses sites web.

Car cela fait 30 ans que l’on sait chiffrer les échanges sur le web, notamment via le protocole HTTPS. Cela permet d’empêcher l’interception des données échangées entre un utilisateur et un site web.

Le cœur de ce protocole, ce sont les certificats électroniques émis par les autorités de certifications. 

Mais qu’est-ce qu’un certificat électronique ?

C’est un document numérique comparable à une carte d’identité.

Et le rôle d’une autorité de certification est à la fois de fournir cette pièce d’identité et de s’assurer de l’identité du détenteur. Des vérifications qui peuvent aller jusqu’au coup de téléphone afin de s’assurer que l’organisation qui demande un certificat est bien réelle.

De nombreuses autorités de certifications existent. Ce sont des sociétés commerciales, qui vendent leurs certificats, et elles ont amassé des fortunes en le faisant.

Mais l’arrivée de Lets Encrypt sur le marché va bousculer ces autorités.

L’idée de génie ? Proposer des certificats électroniques accessibles à tous.

Contrairement à ses concurrents, Let’s Encrypt n’est pas une société commerciale. Ses certificats sont gratuits et faciles à mettre en place. Et elle ne s’embarrasse pas de vérifications avancées sur l’identité des demandeurs de certificats.

C’est ainsi que Let’s Encrypt est devenu l’acteur majeur des autorités de certifications. Et c’est aussi comme cela qu’en cinq ans, l’utilisation du protocole HTTPS est passé de 50 % à 95 % sur les sites web.

Alors, quel est le revers de la médaille ? Déjà, son rôle de plus en plus central. Quand Let’s Encrypt rencontre des problèmes, c’est potentiellement un très grand nombre de sites et de services qui peuvent être affectés en cascade.

L’autre inquiétude, ce sont les usages malveillants. Comme Let’s Encrypt ne vérifie pas l’identité de ses utilisateurs, la présence d’un de leurs certificats sur un site ne garantit pas grand-chose. Un site frauduleux peut tout à fait utiliser un certificat Let’s Encrypt et se donner l’apparence d’un site sécurisé sans débourser un centime.

Mais sans Let’s Encrypt, la technologie HTTPS serait restée un privilège réservé aux entreprises ayant les moyens de se l’offrir.

Et voilà, normalement on a fait le tour du sujet. Pour en savoir plus, rendez-vous sur zdnet.fr">zdnet.fr. Et retrouvez tous les jours un nouvel épisode du ZD Tech sur vos plateformes d'écoute de podcast préférées.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.