Les 10 ans de Let’s Encrypt

 (letsencrypt.org)
11 points par GN⁺ 2025-12-10 | 1 commentaires | Partager sur WhatsApp
  • Depuis la première émission de certificat public en 2015, Let’s Encrypt est devenu la plus grande autorité de certification (CA) au monde en nombre de certificats émis
  • Avec l’évolutivité fondée sur l’automatisation comme principe central, le service émet plus de 10 millions de certificats par jour et protège près d’un milliard de sites web
  • En faisant passer la part du chiffrement HTTPS dans le monde de moins de 30 % à environ 80 %, Let’s Encrypt a contribué à renforcer la sécurité du Web
  • Le service continue d’ajouter des fonctionnalités comme les domaines internationalisés, les certificats wildcard, les certificats de courte durée et les certificats IP, tout en renforçant les performances de son infrastructure
  • Avec le soutien de l’organisation à but non lucratif ISRG, il poursuit sa mission de réduire les barrières d’accès à Internet grâce à une infrastructure de sécurité gratuite et automatisée

10 ans de parcours pour Let’s Encrypt

  • Depuis la première émission de certificat public le 14 septembre 2015, la majorité des clients ont pu obtenir des certificats de confiance via des logiciels d’automatisation
    • Des milliards de certificats ont ensuite été émis, faisant de Let’s Encrypt la plus grande autorité de certification au monde
    • Le protocole ACME a été intégré à l’ensemble de l’écosystème des serveurs et s’est imposé comme un standard chez les administrateurs système
  • En 2023, son organisation mère à but non lucratif, Internet Security Research Group (ISRG), a célébré son 10e anniversaire
    • Avec Let’s Encrypt, elle continue d’exploiter des projets d’infrastructure d’intérêt général

Croissance et expansion

  • En mars 2016, Let’s Encrypt a émis son millionième certificat ; en septembre 2018, il atteignait 1 million d’émissions par jour ; en 2020, le total cumulé a atteint 1 milliard de certificats
    • Fin 2025, le service émet plus de 10 millions de certificats par jour
    • Le nombre de sites actifs approche le milliard
  • Cette hausse du volume d’émission démontre la stabilité de l’architecture et la réussite de la vision d’automatisation
    • Le volume de certificats n’est qu’un indicateur indirect ; l’essentiel est l’augmentation du taux d’adoption de HTTPS
    • D’après les statistiques de Firefox, la part des connexions HTTPS est passée en cinq ans de moins de 30 % à plus de 80 %
    • Aux États-Unis, elle se maintient autour de 95 %

Évolution technique et amélioration de l’infrastructure

  • Prise en charge des domaines internationalisés (IDN) en 2016, des certificats wildcard en 2018, puis des certificats de courte durée et des certificats IP en 2025
  • En 2021, une mise à niveau des serveurs de base de données a permis de mieux absorber les traitements de données à grande échelle
    • Le réseau interne est passé de Gigabit à Ethernet 25 Gigabit
  • En 2025, décision d’expérimenter puis de déployer une amélioration de la structure des logs Certificate Transparency
    • Une mise à niveau de l’architecture est engagée pour accompagner la croissance continue

Système de confiance et activités de normalisation

  • Les premiers certificats publics ont pu être émis grâce à une signature croisée d’IdenTrust
    • Let’s Encrypt a ensuite construit et déployé ses propres certificats root CA
  • Contribution au développement de la PKI du Web en coopération avec le CA/B Forum, l’IETF et les programmes root des navigateurs
  • Réalisation d’un travail d’ingénierie PKI sur la gestion des chaînes de certificats, les key ceremonies, la documentation, etc.

Philosophie de l’automatisation et valeur sociale

  • L’objectif est l’automatisation complète de la PKI du Web, afin de créer un environnement où les exploitants de sites n’ont même plus à se soucier des certificats
    • Plus l’automatisation réussit, plus le service risque d’être perçu comme allant de soi
    • D’où l’importance soulignée de maintenir la sensibilisation et d’assurer un soutien financier continu
  • La communauté soutient le projet par l’usage quotidien de dizaines de millions de certificats et par sa participation au financement
  • Distinctions reçues : Levchin Prize (2022), O’Reilly Open Source Award (2019), IEEE Cybersecurity Award (2025), entre autres
  • En 2019, un article académique à l’ACM CCS a consigné l’histoire et l’architecture du projet

Partenariats et vision d’avenir

  • Le projet a été lancé avec le soutien des premiers sponsors Mozilla, EFF, Cisco, Akamai, IdenTrust
    • IdenTrust, en particulier, a joué un rôle clé dans la concrétisation du service de certificats publics en fournissant la signature croisée
  • Pour les dix prochaines années, l’objectif est de réduire les barrières financières, techniques et informationnelles afin de bâtir un Internet plus sûr et davantage respectueux de la vie privée
  • Let’s Encrypt est un projet de l’ISRG à but non lucratif, qui continue de fonctionner grâce aux dons et au sponsoring

À lire aussi

1 commentaires

 
GN⁺ 2025-12-10
Réactions sur Hacker News

  • Grâce à Let's Encrypt, il est désormais difficile d’imaginer un site web sans TLS
    Le CEO d’une ancienne entreprise où je travaillais refusait de l’utiliser en disant que « des certificats gratuits donnent une image cheap aux clients », mais c’était vraiment une idée absurde
    C’était la plus grande autorité de certification au monde, et les clients n’ont jamais prêté attention à l’organisme qui délivrait le certificat
    Je me demande si d’autres ont déjà reçu des retours négatifs sur l’usage de Let's Encrypt

    • Certains hébergeurs bloquaient l’utilisation de certificats externes pour ne vendre que leurs propres certificats payants
      Ils empêchaient l’accès SSH ou aux conteneurs, rendant impossible l’installation de certificats gratuits, tout en pratiquant des tarifs délirants pour leurs propres certificats
      Si les responsables politiques peu au fait de la technique avaient compris cela, ça aurait pu devenir un scandale d’entente sur les prix
    • Du point de vue d’un CEO en 2022, c’est compréhensible : les certificats EV venaient seulement de disparaître
      La visualisation EV a été retirée dans Chrome 77 et Firefox 70 (en 2019), et certains ne se sont jamais adaptés à ce changement
      Article lié : Extended Validation Certificates Are Really, Really Dead
    • J’avais signalé un certificat expiré sur le site de Porsche, et quelques heures plus tard il avait été remplacé par Let's Encrypt
      Ça m’avait vraiment surpris, et je vois Let's Encrypt comme le SSD d’Internet — l’impression d’un vrai passage à la vitesse supérieure
    • Il fut un temps où les certificats EV inspiraient plus confiance que les DV
      Les navigateurs leur accordaient un affichage spécial, mais cette époque est désormais révolue
      Comme le renouvellement était pénible, le quotidien s’est amélioré, mais il y a aussi une sorte de sentiment de perte
    • Il y a 15 ans environ, les certificats EV avaient une utilité commerciale, mais depuis, plus personne n’y prête attention

  • Le TLS avant Let's Encrypt était vraiment affreux
    Il fallait payer par hôte, faire la validation de domaine à la main et gérer les renouvellements chaque année
    Aujourd’hui, il suffit d’installer un client ACME une fois, et la part du HTTPS est passée de 30 % à 80–95 % en quelques années
    La vraie révolution a été rendue possible par l’automatisation (ACME) et la structure à but non lucratif
    À l’avenir, la durée de vie des certificats devrait tomber à 45 jours, ce qui rendra l’installation manuelle impossible
    Il reste encore des domaines, comme l’IoT ou les tableaux de bord internes, où l’automatisation manque

    • À l’époque, la durée de validité des certificats était de 3 ans, et les certificats de 2 ans ne sont apparus qu’en 2018
      Let's Encrypt poussait déjà cette automatisation à cycle court bien avant cela
    • Avant, on pouvait installer un certificat gratuit de 3 ans et l’oublier ; maintenant, les sites expirés sont fréquents, ce qui est pénible
      J’ai l’impression que l’industrie IT américaine a chassé les bonnes AC du marché
    • Mon entreprise était en pleine transition de stack et voulait acheter des certificats temporaires, mais avec des dizaines de sous-domaines wildcard, un certificat d’un an coûtait 30 000 dollars
      On a donc créé notre propre AC et on l’a installée sur les serveurs internes, avant de revenir finalement à Let's Encrypt
      Aujourd’hui, il est difficile de croire qu’un tel marché de certificats hors de prix ait pu exister
    • Côté IoT, je pense qu’il serait bien d’ajouter une fonction ACME au protocole Matter afin que le hub puisse jouer le rôle de sa propre AC
      En pratique, ce sera sans doute difficile sur du matériel bas de gamme, mais j’aime en rêver

  • Quand j’étais administrateur système vers 2007–2011, je créais moi-même les CSR avec openssl, j’achetais des certificats chez GoDaddy et je les déployais manuellement
    Quand j’y repense aujourd’hui, on dirait que le monde a complètement changé
    Let's Encrypt est l’un des meilleurs services de toute l’histoire d’Internet

    • J’aimerais qu’un service similaire existe aussi pour le S/MIME
    • À cette époque, c’était vraiment une suite ininterrompue de tâches ennuyeuses et fastidieuses
    • Il y a encore quelques années, je faisais tout manuellement jusqu’à ce qu’un ami me parle de Let's Encrypt : ça m’a semblé être de la magie

  • L’affaire Snowden a aussi été un grand déclencheur de l’adoption du TLS
    Avant cela, on considérait surtout que seuls les sites manipulant de l’argent avaient besoin de TLS, et le trafic pouvait être sniffé très facilement
    Dans une conférence donnée vers 2008, un enquêteur de l’IRS disait que le chiffrement n’avait absolument pas été un obstacle pour faire tomber des casinos illégaux

    • Mais c’est une réécriture a posteriori des faits (retcon)
      Facebook a adopté le TLS en 2011, et Google Mail utilisait le TLS par défaut dès 2010
      Vers 2010, un site sans TLS était déjà considéré comme une vulnérabilité de sécurité
    • En réalité, c’est surtout l’injection publicitaire sur HTTP qui, dès la fin des années 2000, a rendu HTTPS indispensable
      La protection des revenus publicitaires a davantage motivé le mouvement que la NSA

  • C’est une bonne chose que le chiffrement du trafic web soit devenu la norme, mais il est regrettable qu’on ne puisse plus utiliser une fonction de base sans l’approbation d’une AC

    • J’aimerais demander ce que signifie exactement « l’approbation d’une AC »
      Let's Encrypt vérifie seulement la propriété du domaine et n’intervient pas sur le contenu du site
      Article lié : Phishing and Malware
    • Ce n’est pas un problème nouveau, mais un vieux problème structurel que Let's Encrypt n’a pas résolu
      Il existe beaucoup de points uniques de défaillance de ce type dans toute la stack
    • Le DNS est en pratique lui aussi un élément indispensable, donc la situation est comparable
      Les grandes autorités de certification ou les TLD principaux ne demandent pas non plus quelle est la nature du site

  • Quand Let's Encrypt a été annoncé, je me disais : « bonne idée, mais est-ce que les navigateurs vont l’accepter ? »
    Aujourd’hui, je l’utilise sur tous mes sites auto-hébergés, et mon entreprise va aussi passer au renouvellement automatique
    Quand je repense aux souffrances d’autrefois avec SSL/TLS, je souris chaque fois que j’obtiens un certificat LE pour un nouveau site

  • J’espère que Let's Encrypt conservera son indépendance et ne sera pas racheté par un grand groupe comme Google
    Un monde où l’émission de certificats SSL serait détournée comme outil de censure serait terrifiant
    De nos jours, les navigateurs donnent presque l’impression qu’un site HTTP est malveillant

    • Si Google voulait censurer, il dispose de moyens bien plus puissants que le SSL, comme la liste noire Safe Browsing
    • Let's Encrypt est une organisation à but non lucratif, elle ne peut donc pas être rachetée comme une entreprise classique
      Selon le droit fiscal américain, les actifs d’une structure à but non lucratif doivent rester dans le secteur non lucratif, donc il n’y a pas de risque qu’un grand groupe la sabote

  • Chaque année, j’inclus Let's Encrypt dans ma liste de dons
    À une époque où tous les navigateurs exigent le HTTPS, les développeurs indépendants auraient eu du mal à tenir sans ce service
    C’est vraiment un projet pour lequel je suis reconnaissant

  • Ces 10 dernières années ont été formidables
    Pour la suite, il faut décentraliser l’infrastructure d’émission et renforcer sa résilience
    Dans les régions insulaires, Internet tombe souvent en panne, et la réduction de la durée de vie des certificats pourrait devenir problématique
    J’aimerais qu’on construise des systèmes d’émission régionaux en coopération avec les registres ccTLD

  • Cela fait 7 ans que j’utilise Let's Encrypt
    Le fait de pouvoir faire tourner un blog ou des projets personnels en HTTPS a vraiment amélioré ma vie
    Je n’aurais probablement pas payé 50 dollars par an pour quelque chose comme Nextcloud, mais le gain en sécurité est énorme
    Merci à toutes les personnes qui ont rendu le monde un peu meilleur