Written by

Le Web est un espace impor­tant à pro­té­ger : une grande par­tie du temps que nous pas­sons en ligne implique le par­tage d’informations per­son­nelles. Nous ne pou­vons pas lais­ser toutes ces don­nées exis­ter sur l’internet sans les sécu­ri­ser, au risque de les expo­ser à des attaques. La vie pri­vée est l’une des choses les plus pré­cieuses que nous pos­sé­dons tous.

Sécuriser le Web pour tous : une histoire de vie privée

Il y a quatre ans, la sécu­ri­sa­tion des connexions entre un client et un ser­veur était réser­vée à qui savait la mettre en place : il fal­lait géné­rer un CSR 1) pour votre ser­vice, le sou­mettre à une auto­ri­té, l’installer sur votre ser­veur… et payer chaque année pour le renou­ve­ler (à un coût par­fois éle­vé !). Ainsi, la sécu­ri­sa­tion du Web n’était pas ouverte à tous.

Cette situa­tion n’était confor­table pour per­sonne : les édi­teurs de sites Web vou­laient un meilleur moyen de pro­té­ger les trans­ferts de don­nées de leurs uti­li­sa­teurs, et les uti­li­sa­teurs avaient besoin d’une meilleure pro­tec­tion de leur vie pri­vée.

C’est pour­quoi l’Internet Security Research Group a lan­cé une ini­tia­tive révo­lu­tion­naire : offrir des cer­ti­fi­cats émis par une auto­ri­té CERT à but non lucra­tif, lui per­met­tant de déli­vrer ces cer­ti­fi­cats gra­tui­te­ment. La sécu­ri­sa­tion d’une majeure par­tie de l’internet sans sur­coût deve­nait pos­sible !

En tant que four­nis­seur PaaS / Cloud, nous avons été l’un des pre­miers à inté­grer cette API d’enregistrements de cer­ti­fi­cats à notre pla­te­forme, ce qui nous a per­mis de géné­rer gra­tui­te­ment un cer­ti­fi­cat SSL / TLS pour cha­cun de vos (sous-)domaines.

v2 : Quand les choses deviennent sérieuses

Un grand pou­voir implique de grandes res­pon­sa­bi­li­tés. Pour évi­ter des attaques graves et limi­ter le risque de deve­nir un SPOF 2), Let’s Encrypt a rapi­de­ment mis des limites à son API et à l’utilisation de ses cer­ti­fi­cats.

Jusqu’à la sor­tie de la ver­sion 2, vous deviez émettre un cer­ti­fi­cat pour chaque sous-domaine dont vous aviez expli­ci­te­ment besoin. Parce que nous sommes une pla­te­forme héber­geant de nom­breux sites, nous sou­met­tons une énorme quan­ti­té de requêtes de cer­ti­fi­cats à l’API de Let’s Encrypt quo­ti­dien­ne­ment. Jusqu’ici, nous avons pu tra­vailler avec LE et ses limites pour four­nir vos cer­ti­fi­cats de façon trans­pa­rente. Grâce à cette nou­velle API, nous sommes main­te­nant auto­ri­sés à deman­der éga­le­ment des cer­ti­fi­cats wild­card ! Cela signi­fie que nous pou­vons désor­mais ne déli­vrer qu’un cer­ti­fi­cat pour sécu­ri­ser tous les sous-domaines d’un domaine.

Voici com­ment nous avons choi­si de le faire fonc­tion­ner chez always­da­ta :

  1. Chaque fois que vous ajou­tez un nou­veau sous-domaine en ajou­tant un site / ser­vice der­rière une nou­velle URL, nous géné­rons gra­tui­te­ment un cer­ti­fi­cat LE pour ce sous-domaine,
  2. À par­tir du 20e 3) site ajou­té, nous bas­cu­lons auto­ma­ti­que­ment vers un cer­ti­fi­cat wild­card qui cou­vri­ra le 20e site et tous les sites sui­vants (les 19 pre­miers uti­lisent tou­jours les leurs),
  3. Vous pou­vez émettre un cer­ti­fi­cat wild­card à tout moment, depuis votre pan­neau d’administration dans la sec­tion Avancé > Certificats SSL, en ajou­tant un cer­ti­fi­cat SSL et en deman­dant un cer­ti­fi­cat wild­card LE.

Tous ces cer­ti­fi­cats (géné­rés auto­ma­ti­que­ment ou manuel­le­ment) sont gérés par notre pla­te­forme et renou­ve­lés auto­ma­ti­que­ment sur l’API Let’s Encrypt, nul besoin de vous en pré­oc­cu­per.

Dépasser les limites !

Malgré la magie du ser­vice Let’s Encrypt, il y a tou­jours des limites :

  • Vous ne pou­vez pas uti­li­ser la géné­ra­tion wild­card de notre outil si le domaine racine ne vous appar­tient pas. C’est-à-dire que vous pou­vez tou­jours géné­rer un cer­ti­fi­cat de sous-domaine foo.example.org si le pro­prié­taire du domaine example.org vous a don­né une délé­ga­tion sur le sous-domaine foo, mais vous ne pou­vez pas géné­rer le cer­ti­fi­cat *.example.org, car vous n’êtes pas pro­prié­taire du domaine.
  • Vous ne pou­vez tou­jours pas uti­li­ser les cer­ti­fi­cats Let’s Encrypt pour pro­té­ger des com­mu­ni­ca­tions hau­te­ment cri­tiques comme les trans­ferts finan­ciers, car ils néces­sitent les cer­ti­fi­cats offrant un niveau de sécu­ri­té plus éle­vé.

Pour ce der­nier cas d’utilisation, ou pour tout autre pour lequel vous ne vou­lez pas vous fier aux cer­ti­fi­cats auto­ma­ti­sés Let’s Encrypt, vous pou­vez tou­jours géné­rer un CSR pour votre ser­vice et ins­tal­ler un CERT SSL / TLS déli­vré par une autre auto­ri­té de votre choix.


Participer à la sécu­ri­té glo­bale d’Internet est notre enga­ge­ment en tant que four­nis­seur de ser­vices Cloud. Avec cette nou­velle uti­li­sa­tion de l’API Let’s Encrypt, nous sommes heu­reux d’aider qui­conque à aug­men­ter le niveau de sécu­ri­té des ser­vices qu’il héberge sur notre plate-forme.

Oh, et saviez-vous que vous pou­vez même impo­ser l’utilisation du SSL dès la confi­gu­ra­tion de votre site ;) ?

Notes   [ + ]

1. La demande de signa­ture de cer­ti­fi­cat est le pro­ces­sus de demande d’un cer­ti­fi­cat déli­vré à une auto­ri­té de cer­ti­fi­ca­tion
2. Single Point Of Failure
3. Cette limite est de notre côté et peut chan­ger à tout moment pour les besoins du ser­vice