Y a-t-il des inconvénients à utiliser Let's Encrypt pour les certificats SSL d'un site Web?
Du côté des avantages, je vois plusieurs avantages à utiliser le service Let's Encrypt (par exemple, le service est gratuit, facile à configurer et facile à entretenir). Je me demande quels sont, le cas échéant, les inconvénients de l'utilisation de Let's Encrypt? Y a-t-il des raisons pour lesquelles les opérateurs de sites Web - qu'ils soient grands comme Twitter ou petits comme un photographe local - ne devraient pas envisager de remplacer leurs services SSL existants par des entreprises comme GoDaddy avec ce service?
(Si le service n'est pas encore disponible, cet inconvénient peut être ignoré - je m'interroge davantage sur les inconvénients une fois qu'il est disponible pour le grand public.)
Let's Encrypt est une autorité de certification, et ils ont plus ou moins les mêmes privilèges et pouvoirs que toute autre autorité de certification existante (et plus grande) sur le marché.
À ce jour, le principal inconvénient de l'utilisation d'un certificat Let's Encrypt est la compatibilité. C'est un problème auquel toute nouvelle autorité de certification doit faire face lorsqu'elle s'approche du marché.
Pour qu'un certificat soit approuvé, il doit être signé par un certificat appartenant à une autorité de certification approuvée. Pour être approuvée, une autorité de certification doit disposer du certificat de signature dans le navigateur/système d'exploitation. Une autorité de certification qui entre sur le marché aujourd'hui, en supposant qu'ils sont approuvés pour le programme de certificat racine de chaque navigateur/système d'exploitation à partir du jour 0 (ce qui est impossible), sera incluse dans les versions actuelles des différents navigateur/système d'exploitation. Cependant, ils ne pourront pas être inclus dans les versions plus anciennes (et déjà publiées).
En d'autres termes, si un CA Foo rejoint le programme racine le jour 0 lorsque Google Chrome est 48 et Max OSX est 10,7, le Foo CA ne sera inclus (et approuvé) dans aucun version de Chrome avant 48 ou Mac OSX avant 10.7. Vous ne pouvez pas faire confiance rétroactivement à une autorité de certification.
Pour limiter le problème de compatibilité, Let's Encrypt a obtenu la signature croisée de son certificat racine par une autre autorité de certification plus ancienne (IdenTrust). Cela signifie qu'un client qui n'inclut pas le certificat racine LE peut toujours recourir à IdenTrust et le certificat sera approuvé ... dans un monde idéal. En fait, il semble qu'il existe divers cas où cela ne se produit pas actuellement (Java, Windows XP, iTunes et autres environnements ). C'est donc le principal inconvénient de l'utilisation d'un certificat Let's Encrypt: une compatibilité réduite par rapport à d'autres concurrents plus anciens.
Outre la compatibilité, d'autres inconvénients possibles sont essentiellement liés à la politique d'émission de Let's Encrypt et à leurs décisions commerciales. Comme tout autre service, ils peuvent ne pas offrir certaines fonctionnalités dont vous avez besoin.
Voici quelques différences notables de Let's Encrypt par rapport aux autres autorités de certification ( j'ai également écrit un article à leur sujet ):
LE n'émet pas actuellement de certificats génériques (ils commenceront émission de certificats génériques en janvier 2018 )LE est émet maintenant des certificats génériques en utilisant le protocole ACMEv2 mis à jour- Les certificats LE ont une expiration de 90 jours
- LE délivre uniquement des certificats validés par domaine ou DNS (ils ne prévoient pas d'émettre OV ou EV, ils ne valident donc que la propriété et non l'entité qui demande le certificat)
- Courant
très restrictiflimitation de débit †(ils continueront d'assouplir la limite tout en se rapprochant de la fin de la bêta)
Les points ci-dessus ne sont pas nécessairement des inconvénients. Cependant, ce sont des décisions commerciales qui peuvent ne pas répondre à vos besoins spécifiques et, dans ce cas, elles représenteront des inconvénients par rapport à d'autres alternatives.
† la limite de taux principale est de 20 certificats par domaine enregistré et par semaine. Cependant, cela ne limite pas le nombre de renouvellements que vous pouvez effectuer chaque semaine.
La raison d'utiliser Let's Encrypt peut être le prix. Ces certificats seront gratuits.
Mais je vois un inconvénient possible pour les petits sites Web. Big CA propose des certificats génériques, des certificats Extended Validation qui présentent certains avantages (de mon point de vue). De plus, ce programme s'adresse aux serveurs Web, mais que se passe-t-il si vous avez un serveur d'applications ou si vous souhaitez sécuriser le serveur de messagerie
pdate: Il est actuellement possible de demander un certificat, non lié aux serveurs Web. Donc mon dernier argument n'est plus valable. voici un exemple d'utilisation de cette option:
./letsencrypt-auto certonly --standalone -d example.com
pdate2: à partir de janvier 2018, Let's Encrypt commencera à émettre des certificats génériques
Certificats génériques à venir en janvier 2018
6 juil. 2017 • Josh Aas, directeur exécutif de l'ISRG
Let's Encrypt commencera à émettre des certificats génériques en janvier 2018. Les certificats génériques sont une fonctionnalité couramment demandée et nous comprenons qu'il existe certains cas d'utilisation où ils facilitent le déploiement HTTPS. Nous espérons que l’offre de caractères génériques contribuera à accélérer la progression du Web vers 100% HTTPS.
Un argument de plus n'est donc plus valide.
Un inconvénient qui empêche les grandes entreprises de considérer Let's Encrypt est que les visiteurs qui se connectent au site ne peuvent pas être sûrs que c'est bien la société qui héberge le site.
En effet, Let's Encrypt délivre gratuitement des certificats pour un domaine sans validation d'identité (personnelle ou d'entreprise) ( Let's Encrypt ne propose que la validation de domaine ).
Modifié pour ajouter: Aux fins d'une transmission sécurisée, ce n'est pas un gros problème. Mais, si vous souhaitez vérifier que c'est bien la société que vous recherchez qui détient le nom de domaine, une recherche whois peut ne pas suffire. Les certificats de classe 2 ou 3 ou EV présentent l'avantage que l'entreprise et le domaine sont vérifiés par l'autorité de certification.
Un autre problème avec l'utilisation de Let'encrypt est que dans le scénario d'entreprise, nous devons également installer un certificat sur l'équilibreur de charge et le fournisseur CDN. Tous les fournisseurs CDN ne disposent pas d'API pour modifier cela automatiquement. De plus, la validité de Let's encrypt est de 90 jours, ce qui complique davantage ce processus.