Le pourcentage de sites Web protégés par un cryptage sécurisé HTTPS - indiqué par l'icône de verrouillage dans la barre d'adresse de la plupart des navigateurs - est passé d'un peu plus de 40 % en 2016 à 80 % aujourd'hui.

C'est en grande partie grâce aux efforts de Let's Encrypt, une autorité de certification à but non lucratif co-fondée en 2013 par J. Alex Halderman, professeur d'informatique et d'ingénierie à l'Université du Michigan.

En offrant un service gratuit, Let's Encrypt a transformé la mise en œuvre de HTTPS d'un coûteux, processus compliqué à une étape facile qui est à la portée de tous les sites Web. L'autorité de certification est désormais la plus grande au monde, fournissant plus de certificats HTTPS que toutes les autres autorités de certification combinées.

Halderman et ses collaborateurs de Let's Encrypt—the Electronic Frontier Foundation, Mozilla, Cisco et l'Université de Stanford ont publié un article expliquant comment le projet a abouti. Ils espèrent qu'il servira de modèle pour rationaliser d'autres aspects de l'infrastructure Internet sur laquelle nous comptons tous au quotidien.

Qu'est-ce qu'une autorité de certification HTTPS exactement ?

Halderman :HTTPS est le protocole utilisé par les navigateurs Web pour communiquer avec les serveurs Web via une connexion cryptée. Il assure la confidentialité en empêchant les personnes indiscrètes de donner un sens aux données. Il assure l'intégrité en empêchant les réseaux malveillants de modifier les données. Et il fournit une authentification en garantissant que vous parlez au serveur affiché dans la barre d'adresse du navigateur plutôt qu'à un imposteur. Cette dernière partie est essentielle. Si HTTPS n'avait pas d'authentification, un attaquant pourrait rediriger la connexion vers un serveur qu'il contrôlait et lire ou modifier les données.

L'authentification est aussi la partie délicate, et c'est là qu'interviennent les autorités de certification. Il s'agit d'un petit groupe d'organisations auxquelles les navigateurs Web font confiance pour garantir l'identité des serveurs. Pour implémenter HTTPS, un site Web doit d'abord prouver à une autorité de certification qu'il s'agit bien du serveur d'un domaine Internet particulier. Ensuite, l'autorité de certification délivre au site un certificat signé numériquement, qui fonctionne comme un permis de conduire pour permettre aux navigateurs de confirmer son identité.

Pourquoi le cryptage est-il important sur les sites Web qui ne traitent pas les informations sensibles ?

Halderman : Quand HTTPS a été inventé dans les années 90, il était principalement destiné aux transactions par carte de crédit et aux opérations bancaires en ligne. Mais depuis, Internet est devenu un endroit beaucoup plus dangereux. Edward Snowden nous a montré que les gouvernements surveillaient le trafic à l'échelle mondiale. Nous avons également vu des cas où des gouvernements et d'autres ont modifié le trafic Internet pour attaquer l'ordinateur de l'utilisateur, ou d'utiliser leur ordinateur pour attaquer des tiers.

Donc aujourd'hui, le cryptage est important non seulement pour les transactions financières, mais pour toutes les communications en ligne. C'est pourquoi il est important de le rendre accessible à chaque opérateur de site Web, et Let's Encrypt fait exactement cela. Il a été particulièrement efficace pour favoriser l'adoption du HTTPS sur des sites Web plus petits qui n'ont pas les ressources nécessaires pour obtenir un certificat via le processus traditionnel.

Pourquoi HTTPS a-t-il été si difficile à mettre en œuvre ?

Halderman :Traditionnellement, la mise en œuvre du HTTPS a obligé les opérateurs de sites Web à choisir une autorité de certification, leur prouver leur identité, payer jusqu'à quelques centaines de dollars pour un certificat, attendre qu'il arrive, puis suivez une série d'étapes compliquées pour l'installer. Vous devez répéter le processus tous les ans ou deux, et si vous ne le faites pas à temps, votre site Web pourrait tomber en panne. Donc beaucoup de sites Web, particulièrement les plus petits, juste laissé leurs sites non cryptés.

Let's Encrypt est un autre type d'autorité de certification qui fournit des certificats gratuits via un processus automatisé qui ne prend souvent qu'un seul clic, et parfois c'est une partie automatique de la configuration du site Web. Cela a entraîné une énorme augmentation du nombre de sites sécurisés.

Comment Let's Encrypt peut-il fournir des certificats gratuitement ?

Halderman :Premièrement, Let's Encrypt est à but non lucratif et est financé principalement par des dons de grandes entreprises technologiques. C'est différent de la plupart des autorités de certification. Deuxièmement, et peut-être contre-intuitivement, rendre les certificats gratuits réduit considérablement le coût de leur émission. Le paiement est une grande source de friction qui rend le processus beaucoup plus difficile à automatiser.

Donc, une fois que vous avez supprimé cette friction, les certificats deviennent beaucoup plus simples à émettre. Une fois que nous avons simplifié le processus, nous avons pu l'automatiser en créant un système logiciel appelé protocole ACME. ACME réduit le coût de chaque certificat émis par Let's Encrypt à une fraction de centime.

Pourquoi le premier article de votre équipe sur Let's Encrypt sort-il quatre ans après son lancement ?

Halderman :Parce que créer un nouveau type d'autorité de certification qui délivre des certificats gratuits était une idée folle. Si nous avions écrit le papier avant de le construire, il n'aurait pas été publié. Nous devions prouver que l'économie fonctionnerait, et il n'y avait aucun moyen de le faire, sauf de simplement le construire.

Quatre ans plus tard, Let's Encrypt a connu un franc succès. Et j'espère que ce papier, qui revient sur la façon dont nous l'avons construit et mesure son impact sur le web, peut aider à diffuser certaines des leçons que nous avons apprises pour aider d'autres parties de l'infrastructure Internet à mieux fonctionner.

Quelles sont certaines de ces leçons et comment peuvent-elles aider dans d'autres domaines ?

Halderman :Une partie de ce qui fait que Let's Encrypt fonctionne est qu'il s'agit d'une partie neutre opérant dans l'intérêt public plutôt que d'un produit d'une grande entreprise technologique. Cela en fait une chose à laquelle tout le monde peut avoir confiance et dans laquelle aucune entreprise n'a un intérêt primordial.

Il existe d'autres endroits où l'authentification et la coopération sont nécessaires. Par exemple, Les FAI travaillent souvent ensemble sur des protocoles de routage qui dirigent les informations sur Internet. Mais ce processus lui-même n'est pas crypté et est sujet à des attaques. C'est un endroit où un modèle similaire à Let's Encrypt pourrait bien fonctionner.

Vous avez mentionné que Let's Encrypt était une idée folle en 2013. Aujourd'hui, ça n'a pas l'air si fou. Comment passez-vous de « idée folle » à « pourquoi n'y ai-je pas pensé ? »

Halderman :En regardant au-delà des mesures académiques habituelles du succès comme le nombre d'articles ou de startups commerciales. Nous pouvons le faire au Michigan, car l'impact dans le monde réel est dans l'ADN du College of Engineering. Et pour être honnête, Je ne pense pas qu'il y ait beaucoup d'autres universités où cela aurait pu se produire.

Lorsque nous avons commencé ce projet, nous savions qu'il ne deviendrait pas de sitôt un article académique traditionnel. Mais les gens ici ont vu qu'il était susceptible d'être précieux pour le monde, et ils ont soutenu le travail - tous les collègues qui m'ont nommé au comité de thèse pour le doctorat. étudiant qui a aidé à concevoir ACME. C'est ce soutien qui nous a permis de conduire le projet jusqu'au succès.

Le papier, Let's Encrypt :une autorité de certification automatisée pour crypter l'ensemble du Web, sera présenté le 14 novembre lors de la conférence ACM sur la sécurité informatique et des communications à Londres.