Let’s encrypt est un projet d’autorité de certification menée par la fondation Mozilla, Akamai, l’EFF et Cisco.

Le but est de proposer à tout le monde des certificats signés par une autorité de certification reconnue pour pousser vers un chiffrement plus massif du Net.

Même si SSL est mieux que de ne pas chiffrer du tout, il pose certains problèmes très bien décris par Stéphane Bortzmeyer.

Le protocole SSL/TLS permet de garantir au moins deux choses :

• La confidentialité des données entre deux entités (un tiers ne peut pas comprendre les données échangées entre deux machines).
• L’identité d’un serveur (« secure.debitagricole.fr » appartient bien à la banque « Débit Agricole »).

Aujourd’hui, pour bénéficier d’un certificat SSL signé par une autorité de certification reconnue, il faut payer ladite autorité et montrer patte blanche (par différents moyens).

Reconnue ne veut pas dire officielle ; il n’y a pas d’autorités de certification officielles, il n’y a que des autorités reconnues par défaut par vos navigateurs et vos systèmes d’exploitation.

CACert propose déjà une autorité de certification gratuite mais pas reconnue par la plupart des systèmes.

Le projet Let’s encrypt devrait sortir de terre d’ici l’été 2015.

Sur le même sujet :

• ROCA : l’autre grosse faille qui passerait presque inappercue
• La sécurité avec Docker – Chapitre final : Le test
• La sécurité avec Docker – Chapitre 4 : Les images et les dépôts