"Let's encryt", oui mais intelligemment

Lors d'une maintenance du panel d'administration d'un de mes serveurs (Plesk pour ne pas le citer), un bouton Let's Encrypt est apparu dans la gestion des certificats SSL.

Je passerai sur la philosophie de Let's Encrypt pour aller au vif du sujet : la facilité d'installation d'un certificat SSL valide.

Ecran de configuration LE sur PleskEn un unique écran, j'ai pu générer le certificat LE pour mon domaine et celui-ci a été autoconfiguré dans Nginx. Et même si cela est caché par le proxy Plesk, cela ne fait qu'exécuter le client LE et mettre à jour la configuration du serveur web.

Quoi de plus simple pour un site web simple ? Même avec un service en Beta-test et je pense une v1.0 du proxy Plesk, j'ai la capacité de fournir un service au travers d'un canal sécurisé. Cela est plus que suffisant pour la grande majorité des sites internet.

A cette époque ou les lois attentant à la vie privée sont légion, augmenter la sécurité d'un site internet est toujours bon à prendre; même si cela se fait de la manière la plus simple.

Cependant, je reste convaincu que cela doit se faire intelligemment. Comme on ne sécurise pas une banque comme sa maison, utiliser LE à toutes les sauces ne fera pas de miracles bien au contraire.

Des techniques de sécurité comme HSTS ou le Key Pinning sont difficiles à mettre en oeuvre avec un certificat dont la durée de vie est de seulement 90 jours. Si vous avez besoin de ce type de fonctionnalité, et si vous vendez un produit ou un service, mieux vaut acheter un certificat avec Extended Validation. C'est bien plus cher, mais cela vous offre un certain nombre de garanties en tant que fournisseur et vos utilisateurs sont rassurés quant à votre sérieux.

De plus, la différence d'affichage entre un certificat EV et un certificat "normal" dans un navigateur aide à mettre l'utilisateur final en confiance : nous avons tous du à un moment ou un autre écrire une page de FAQ pour indiquer à l'utilisateur comment bien vérifier qu'il était sur le bon site.

A cette heure, LE ne délivre que des certificats à destination de sites web. Ainsi, vouloir tirer des certificats de Code Signing ou pis des certificats client n'est pas faisable et j'espère que cela ne le sera jamais.