Les serveurs web du Cert-IST utilisent les certificats « Let’s Encrypt »

Date : 07 Avril 2017

Depuis fin janvier 2017, nous utilisons de nouveaux certificats pour nos serveurs web (site web public, privé et MISP). Désormais, la visite du site web public www.cert-ist.com se fait donc systématiquement en HTTPS (les autres étant déjà auparavant dans ce mode). « Let’s encrypt » est un projet communautaire démarré fin 2015, avec comme objectif de généraliser l’usage de HTTPS afin préserver la confidentialité lors de navigation web (suite aux révélations Snowden). Pour ce faire, le projet propose gratuitement la distribution et le renouvellement des certificats pour les serveurs web.

Les principaux avantages de ces nouveaux certificats sont les suivants :

  • Les certificats sont gratuits et de haute qualité cryptographique,
  • Ils sont automatiquement reconnus comme valides par les navigateurs web (l’autorité de certification « Let’s Encrypt » est reconnue en standard par les navigateurs),

Le fait d’utiliser un certificat « Let’s Encrypt » ne garantit pas, par contre, que le propriétaire du site web est quelqu’un de confiance. En effet « Let’s Encrypt » ne propose pas de services comme la validation de l’organisme (OV) ou la validation étendue (EV) (voir : certifications de type OV et EV pour plus d’information).

 

Nous avons  également, dans le cadre du même projet, amélioré le paramétrage de nos sites web en nous appuyant sur les outils de « l’observatoire Mozilla ».  Celui-ci attribut une note à la sécurité d’un site web en effectuant une suite de tests à distance. Il propose aussi de nombreux conseils pour améliorer cette note. Le site web du Cert-IST (www.cert-ist.com) a ainsi désormais la note A+ (les notes allant de A à F).

Précedent Précedent Suivant Suivant Imprimer Imprimer