Qu'est-ce que Let's Encrypt et comment fonctionne le SSL gratuit ?

Qu'est-ce que Let's Encrypt est une question que rencontre tôt ou tard presque toute personne souhaitant passer son site en HTTPS. En bref, Let's Encrypt est l'autorité de certification gratuite la plus utilisée au monde et délivre chaque jour des certificats SSL/TLS pour des millions de domaines. Dans cet article, nous expliquons pas à pas ce qu'est Let's Encrypt, comment fonctionne le SSL gratuit et pourquoi tout le processus est aussi automatisé.

Qu'est-ce que Let's Encrypt

Let's Encrypt est une autorité de certification (CA) gratuite, automatisée et ouverte, exploitée par l'organisation à but non lucratif ISRG (Internet Security Research Group). Elle poursuit une seule mission : chiffrer l'ensemble du web avec HTTPS. Les certificats sont gratuits parce que l'ISRG finance le projet grâce à des sponsors et des dons, payant l'infrastructure de façon collective au lieu de facturer chaque certificat.

Let's Encrypt ne délivre que des certificats DV (validation de domaine). Le certificat prouve donc que vous contrôlez le domaine ; il ne vérifie pas l'identité de votre entreprise ni votre entité juridique. Pour la grande majorité des blogs, sites d'entreprise et boutiques en ligne, c'est largement suffisant.

Comment ça marche (ACME + validation)

La magie réside dans le protocole ACME (Automatic Certificate Management Environment). ACME est un standard ouvert qui automatise entièrement la demande, la validation et la livraison des certificats. Il dialogue entre un client et les serveurs de Let's Encrypt sans aucune intervention humaine.

Avant qu'un certificat ne soit émis, vous devez prouver que vous contrôlez réellement le domaine. Il existe deux méthodes de validation principales :

  • HTTP-01 : Let's Encrypt vous remet un jeton que vous placez sous forme de fichier à un chemin précis de votre serveur (/.well-known/acme-challenge/). Let's Encrypt lit ce fichier en HTTP pour confirmer que le domaine est sous votre contrôle.
  • DNS-01 : vous ajoutez une valeur fournie sous forme d'enregistrement TXT dans votre zone DNS. Let's Encrypt interroge cet enregistrement pour valider. Cette méthode est obligatoire lorsque vous ne pouvez pas déposer de fichier sur le serveur et pour les certificats wildcard.

Une fois la validation réussie, Let's Encrypt signe et livre le certificat. Un flux ACME typique se présente ainsi :

1. Créer un compte / générer une clé
2. Soumettre la commande (order) du certificat
3. Valider : fichier HTTP-01 ou enregistrement TXT DNS-01
4. Let's Encrypt vérifie
5. Certificat signé et téléchargé

Pour qui préfère ne pas le faire à la main, notre assistant SSL gratuit termine le processus en quelques minutes ; il vous suffit de saisir votre domaine et de confirmer la validation.

Pourquoi 90 jours

Les certificats Let's Encrypt ne sont valides que 90 jours. Cela peut sembler court, mais c'est un choix de sécurité délibéré :

  1. Cela encourage l'automatisation : une durée de vie courte rend le renouvellement manuel peu pratique et pousse tout le monde vers l'automatisation. Un certificat renouvelé automatiquement est bien plus sûr qu'un certificat qui expire parce qu'on l'a oublié.
  2. Cela limite l'impact d'une clé fuitée : si votre clé privée est compromise, les dégâts durent au plus 90 jours. Avec des certificats annuels, cette fenêtre de risque est bien plus large.
Les certificats à courte durée de vie ne sont pas une faiblesse pour la santé d'internet ; au contraire, ils sont une pierre angulaire de la sécurité moderne.

Est-ce fiable ?

Oui. Les certificats Let's Encrypt sont reconnus comme fiables par tous les grands navigateurs (Chrome, Firefox, Safari, Edge) et systèmes d'exploitation. La raison : les certificats racine de Let's Encrypt sont inclus dans les magasins de confiance (trust stores) de ces plateformes. Ils offrent la même force de chiffrement (généralement les mêmes standards TLS) qu'un certificat payant, et le cadenas dans la barre d'adresse est exactement le même.

Ses limites (DV, wildcard, pas d'OV/EV)

Let's Encrypt est puissant, mais il ne fait pas tout. Connaître ses limites est important :

  • Il ne délivre que des certificats DV ; il ne propose pas d'OV ni d'EV (validation d'organisation/étendue). Pour afficher un nom d'entreprise dans le navigateur, il faut se tourner vers une CA commerciale.
  • Les certificats wildcard (*.exemple.com) ne s'obtiennent qu'avec la validation DNS-01 ; HTTP-01 ne fonctionne pas pour les wildcards.
  • Il n'inclut aucun extra commercial comme une assurance, des garanties ou une barre d'adresse verte.

Résumé

Let's Encrypt est une autorité de certification DV gratuite, exploitée par l'ISRG et entièrement automatisée via le protocole ACME. Elle valide la propriété du domaine grâce à HTTP-01 et DNS-01, renforce la sécurité avec des certificats à courte durée de 90 jours et bénéficie de la confiance de tous les grands navigateurs. Son seul inconvénient : les outils en ligne de commande peuvent sembler complexes aux débutants. C'est précisément là qu'intervient notre assistant SSL gratuit : aucune inscription requise, vous saisissez votre domaine, complétez la validation et téléchargez vos fichiers CRT, KEY, CA Bundle, fullchain et PFX dans un seul ZIP. Profitez de toute la puissance de Let's Encrypt en quelques minutes, sans aucune connaissance technique.