http://korben.info/lets-encrypt-vous-permettra-des-le-mois-prochain-davoir-un-certificat-ssl-reconnu-par-tous-les-navigateurs.html
Si vous voulez un certificat SSL pour votre serveur web, qui soit reconnu officiellement par la plupart des navigateurs, c’est possible et gratuitement avec Let’s Encrypt. Annoncé l’année dernière, ce service proposé par Mozilla, l’EFF, l’Internet Society, Cisco, Automatic…etc va permettre d’améliorer grandement la sécurité des sites web en permettant à tous de se créer…
J’espère que tu nous feras un p’tit tuto pour s’en servir !
Ce qui serait vraiment intéressant c’est d’avoir Let’s Encrypt intégré à Cpanel par exemple… Il y a une discussion animée sur leur forum : https://features.cpanel.net/topic/provide-support-for-lets-encrypt-automated-certificate-management-ssl
Quel sera le réel avantage après le 16 novembre d’acheter un certificat payant ?
Je cherche encore ^^
Ce que je vais dire est peut-être stupide, mais du coup, les gens qui font confiance aux sites certifiés “https” sans que la page leur dise que le certificat n’est pas signé, du coup ils vont penser que tout va bien, ils sont sur un site de “confiance” et donc les mails de phishings seront de plus en plus courants, puisque les certificats seront gratuits.
Là de suite je pense aux faux mails des impôts qui vous disent “Nous vous devons XXX€, veuillez remplir le formulaire sur notre site sécurisé”
Un boom de faux sites à venir?
Je pense que gratuit ne signifie pas “sans aucune vérifications” (identité du propriétaire du domaine, identité du demandeur, …), sinon je ne vois pas comment ils peuvent avoir leur racine reconnue automatiquement dans le navigateurs.
Tu penses sincèrement qu’un phisher en a quelque chose a foutre de prendre une carte volée qui restera valable pendant 2 mois (entre la découverte de la fraude, etc…) et prendre un certif a 50€ ? Non les fournisseurs de certifs vérifient un minimum les infos des gens, comme le fera Let’s encrypt.
Après, et c’est tout le problème que tu soulèves, on a communiquer ne masse a tous les internautes pour leur dire “si il y a le cadenas c’est bon”… et moi je dis a mes clients "si il y a le cadenas, cela prouve juste que pas grand monde peut intercepter vos infos entre le voleur qui a mis en place un faux site ecommerce et vous… ca ne renseigne pas du tout sur la qualité du ecommerce, ou de la solution de paiement. Tout comme une alarme de voiture, aussi perfectionnée qu’elle soit ne renseigne pas sur la qualité de la voiture.
Après vivre Lets encrypt, ca devrait, en effet, etre la norme d’avoir du ssl partout dans nos coms, mais ca ne prouve bien sur rien quand a la confiance qu’on doit apporter au dit site… ce que tout le monde croit.
C’est exactement ce que je voulais dire, en parlant des utilisateurs “Lambda”.
Ils voient le cadenas, c’est OK pour eux…
Bref.
Il y a plusieurs sortes de certificats.
Letsencrypt fournit des certificats DV (domain validated). Ce sont des certificats qui garantissent que le client contacte bien le bon serveur qui gère le domaine (truc.com), et que personne ne peut comprendre la connexion entre ces deux personnes (c’est chiffré).
Il existe d’autres certificats (OV pour Organization validated et EV pour extended validation) qui garantissent en supplément que ce domaine appartient à telle entreprise. En général le navigateur met en avant les certificats EV en affichant le nom de l’entreprise à côté du cadenas.
Mais si le but est seulement de sécuriser la connexion, un certificat EV n’apporte rien de plus! Au mieux il sera plus difficile de s’en procurer un faux. Un certificat DV garantit déjà qu’un intrus ne pourra pas écouter la communication ou de la modifier (par exemple avec une attaque MITM).
Pour obtenir un certificat DV, en principe l’autorité de certification doit uniquement vérifier que la personne demandant le certificat possède bien le domaine pour lequel le certificat est effectif. Il était déjà donc déjà possible d’obtenir des certificats ssl sans plus de vérifications, et on pouvait même le faire gratuitement et de manière semi-automatisée chez startSSL. Cependant, la procédure restait plutôt pénible, le possesseur du certificat risquait d’oublier de le renouveler, et startSSL faisait payer la révocation d’un certificat perdu dans la nature (ce qui est questionnable éthiquement).
Lets-encrypt rend donc complètement automatique le processus de création et nouvellement des certificats afin de pousser tout le monde à activer le HTTPS, même lorsque cela n’est pas strictement nécessaire (blog lambda, site vitrine, etc…)
Je sais pas de quel oeil les autres autorités de certification voient cela, mais à priori les certificats DV étaient déjà relativement peu cher (voire gratuit), et ils continueront à se faire de l’argent sur les certificats OV et EV.
C’est exactement ça, je pense qu’au niveau de nombreuses autorités de certification, les certificats DV ne sont pas forcément l’objectif principal. Elles sont plutôt tourné vers les certificats qualifiés de type OV ou EV qui sont beaucoup plus utilisé dans le domaine professionnel.
Mais ça n’empêche que cela retire une petite part de marché à ces AC même si au final, cela tend à familiariser l’internaute avec l’utilisation des certificats SSL (qui jusqu’à présent ce limité à la présence ou non d’un cadenas).
Ils vérifient que t’es bien propriétaire du domaine. Il me semble que tu dois créer un enregistrement DNS particulier
Le seul truc que je trouve chiant, c’est la validité à 90 jours seulement. Mais ils ont aussi des bons arguments pour ça. Faudra juste scripter le renouvellement
Auprès d’un registrar spécifique?
@SnakeMAR : il est déjà possible d’avoir des certificats HTTPS gratuitement (voir StartCom) donc ceci ne changera rien au phishing déjà présent.
@elliotdoe : Pas vraiment besoin de scripter grand chose car tout est prévu avec le client CLI 
https://www.youtube.com/watch?v=Gas_sSB-5SU
Sinon excellente nouvelle qui devrait pousser tout le monde à enfin utiliser du HTTPS.
Il manque plus qu’à former les SysAdmin, hébergeur, gouvernement,etc a configurer correctement leurs serveurs !
Quand on voit en 2015 des banques française (CIC, LaPoste, Caisse d’épargne, Société général pour ne citer qu’eux) utiliser encore des certificats tout pourri qui utilise des algo de chiffrements réputé pour être pété, obsolète et même déconseillé par l’ANSSI dans l’unique but (je présume) de conserver les 4 tondus qui sont encore sous le combo “IE6 + WinXP” !
Je parle des banques mais c’est pareil pour pole-emploi, CAF, Orange,… ou pire : les impôts qui utilise encore SSLv3 (malgré la faille POODLE), 3DES et RC4 sans implémenter TLS>v1.0
Comme le dit un slogan : “sans maîtrise, la puissance n’est rien”.
Avoir un certificat : c’est bien, gratuit : c’est encore mieux (merci let’s encrypt) mais il faut configurer correctement vos serveurs pour l’utiliser sinon cela n’a aucun intérêt si ce n’est une fausse sensation de sécurité.
Il reste encore pas mal de chemin à faire pour que les utilisateurs soit aussi un minimum vigilent.
Vérifiez un peu les certificats (y’a des extensions ou des sites pour ça) !
Après tout c’est obsolète, une vrai passoir mais cela suffit pour la plupart des gens qui se disent : “cool, y’a un cadenas donc c’est top secure” !
Peu importe où tant que c’est sur le domaine que tu veux utiliser pour le certificat je pense
Il existe aussi l’association CACERT.org qui a fourni plus d’un millions de certificats gratuit depuis 2003 (certificat serveur pour des domaines et certificats clients)
Mais qui est très mal reconnu par les navigateurs 
Le site indique que Firefox ne le connaît pas, et ne donne aucune indication sur Chrome
Le CLI peut automatiser des serveurs standards mais dès que tu parles d’appliances ou trucs exotiques (parefeux, proxys etc) c’est plus la même chose… Faudra le scripter si possible, sinon ça sera à la main. Et 90 jours à la main c’est lourd 
C’est cool. 
merci du partage.
J’avais moyennement envie de payer un certificat SSL pour mon petit site perso. Y a aucune infos bancaire, juste des connexions à protéger. Pour le moment du coup j’ai un certificat auto-signé que tout le monde peut utiliser (avec le problème du bouton “valider l’exception”) et puis la connexion est sécurisé via des petits scripts perso - donc même en HTTP, on voit rien. Ça marche bien !