Le futur du web sera sécurisé ou ne sera pas. Les navigateurs favorisent déjà tous les sites qui disposent d’un certificat de sécurité et qui ont une URL en https://, Google prend aussi en compte ce paramètre pour ses résultats de recherche. Bref, tous les grands acteurs du web vont dans le sens d’une généralisation de cette couche de sécurité supplémentaire qui garantit l’authenticité d’un site et qui empêche tout transfert de données personnelles non désiré d’un site à l’autre.
Malheureusement, sécuriser un site internet est encore complexe et cher. Ces deux freins expliquent que bon nombre de sites sont encore restés sur l’ancien protocole http://, non sécurisé. Mais cela devrait très bientôt changer : Let’s Encrypt a annoncé cette semaine que tous les navigateurs acceptaient son certificat. Le service devrait donc bientôt se lancer et sécuriser gratuitement et facilement tous les sites.
Soutenu par plusieurs acteurs majeurs du web, de la fondation Mozilla à l’EFF, en passant par Akamai, Cisco et Automattic, Let’s Encrypt permettra en effet de sécuriser n’importe quel serveur web. Même si tous les webmasters ne pourront pas en bénéficier, en tout cas pas dans un premier temps (il faut un accès en ligne de commande au terminal pour la mise en place), le pari de Let’s Encrypt est que les hébergeurs n’auront plus aucune excuse.
Les certificats sécurisés indispensables étaient jusque-là systématiquement payants, et souvent assez chers (plusieurs dizaines d’euros par an). Avec ce nouveau service, c’est désormais gratuit et une seule ligne de commande configure automatiquement les serveurs, à condition qu’ils utilisent Apache ou Nginx. Pour les autres configurations, les instructions restent assez simples, beaucoup plus simples que l’installation manuelle qui était le plus souvent nécessaire.
Let’s Encrypt propose aussi tous les outils nécessaires pour renouveler un certificat tous les ans, ou au contraire pour en révoquer un sur un site. L’idée étant que tout puisse être automatisé pour simplifier au maximum les procédures et les proposer au plus grand monde. Son lancement est prévu d’ici la fin de l’année et maintenant que tous les navigateurs sont pris en charge, cela ne devrait plus trop tarder.
Un point important à noter malgré tout : Let’s Encrypt est totalement gratuit, mais le service ne suffit pas à assurer qu’un site n’a pas été piraté. Pour cela, il faut un certificat plus complexe qui implique de vérifier l’identité de son propriétaire. Cette protection gratuite est en revanche suffisante pour éviter les écoutes d’un tiers pendant la navigation d’un site à l’autre.
