Let’s Encrypt, c’est quoi déjà?
Let’s Encrypt est un consortium de plusieurs centaines d’éditeurs et fabricants dans le monde qui ont décidé de mettre à disposition du plus grand nombre des Certificats SSL gratuits.
Sans rentrer dans le débat de pourquoi gratuit ou pourquoi payant, Let’s Encrypt a pu depuis sa création délivrer près d’1 milliard de certificats!
Une aubaine pour les particuliers et leurs blogs, mais aussi de nombres sociétés, TPE ou PME se sont appuyés sur cette gratuité pour la protection de leur site Internet, Webmail, extranet.
Et ce titre criard, doit-il vraiment faire si peur?
Malheureusement oui!
Tout d’abord, essayons de comprendre le problème : le Certificat de l’Autorité de certification sur lequel s’appuyait Let’s Encrypt pour générer ses certificats gratuits (DST Root X3) expire le 1er Septembre 2021.
En conséquence, les certificats générées depuis cette racine ne seraient plus acceptés par les navigateurs au 1er Septembre 2021. C’est à cet effet que Let’s Encrypt a déployé en 2018 un nouveau Certificat d’autorité de certification (ISRG Root X1).
Ce certificat d’Autorité a été accepté par la majorité des éditeurs (Microsoft, Google, Apple, Mozilla, Oracle, Blackberry…) – la seule problématique, est Android, le système d’exploitation de Google.
Contrairement à Microsoft ou Apple qui distribuent eux-même les mises à jour sur les terminaux équipés de Windows, MacOS ou iOS, les mises à jour d’Android sont distribués par les fabricants de terminaux (Samsung, Huawei, Xiaomi…).
Et c’est là que le problème survient : ces fabricants se contentent de fournir des mises à jour Android sur les terminaux qu’ils vendent que pendant très peu de temps. Du coup, les mises à jour des Certificats Racine de confiance ne se font plus environ 6 mois après l’acquisition d’un mobile Android.
Et concrètement, que va t-il se passer ?
Et bien c’est assez simple et violent à la fois : tous les terminaux basés sur une version Android inférieure à la version 8, et qui ne se pas en mesure d’effectuer une mise à jour en version 8 minimum ne disposeront pas du Certificat « ISRG Root X1 » et ne seront donc pas en mesure de vérifier les certificats SSL fournis par Let’s Encrypt à compter de cette date.
Du coup, les utilisateurs de ce type de terminaux, en visitant un site Internet utilisant un Certificat Let’s Encrypt, recevront un message d’erreur leur bloquant l’accès.
Que faire dans ce cas?
Côté utilisateur, à part prendre un téléphone plus récent, ou installer un navigateur embarquant sa propre liste de Certificats Racine (comme Firefox), rien du tout. On comprend donc facilement qu’un utilisateur lambda cessera sa navigation et choisira d’utiliser un autre site Internet (dommage pour le site marchant qui perd définitivement une vente).
Côté site Internet, il n’existe qu’une solution: changer de certificat pour un certificat dont l’autorité de certification racine est toujours connue de ces « vieux » terminaux.
Et pour cela, rien de tel que de s’appuyer sur des Autorités de certification reconnues – et en plus, cela ne coûte pas si cher que ce que l’on peut croire !
Comodo PositiveSSL 1 an
Comodo est une autorité de certification née en Angleterre en 1998 et est située aux Etats Unis depuis 2004, ce qui en fait une des autorités historique.
Le certificat PositiveSSL est populaire et peu couteux. C’est une bonne solution d’entrée de gamme pour les sites recensant peu d’information sur les utilisateurs (idéal pour les blogs, startups ou pages personnelles).
Ce certificat avec un cr…
RapidSSL 1 an
RapidSSL est une des autorités de certification du groupe DigiCert. DigiCert est une autorité de certification ayant acquis Symantec (GeoTrust, RapidSSL, Thawte).
Ce certificat SSL est idéal pour sécuriser des entreprises de petites tailles enregistrant un trafic faible sur leur site web. Avec son prix abordable, RapidSSL assure un cryptage de 128/256 bits, couvre plus de 99% des navigateurs et…