Let's Encrypt est une autorité de certification qui fournit gratuitement des certificats « wildcard » pour les sites Web, permettant des connexions HTTPS pour des millions de domaines et rendant l'ensemble d'Internet vraiment solide. Depuis sa création, Let’s Encrypt envoie des courriels de notification d’expiration de certificat. Pratique pour penser à renouveler son certificat avant qu’il arrive à expiration. Mais l'organisation a récemment annoncé qu'elle mettrait fin à ce service de notification le 4 juin 2025. D'après Let's Encrypt, ce changement lui permettrait d'économiser de l'argent et de protéger la vie privée des utilisateurs qui sont se sont inscrits à ce service.Let's Encrypt est une autorité de certification lancée en novembre 2014. Cette organisation à but non lucratif permet aux propriétaires de sites Web d'obtenir des certificats SSL/TLS sans frais, facilitant ainsi la mise en place de connexions sécurisées HTTPS. L'objectif principal de Let's Encrypt est de généraliser l'usage de connexions sécurisées sur Internet, en simplifiant notamment le processus d'obtention et de renouvellement des certificats SSL/TLS.
En somme, Let’s Encrypt a pour vocation à sécuriser les échanges et favoriser ainsi la confidentialité en ligne. À ce titre, stocker des millions d’adresses électroniques potentiellement exposés à un risque de piratage va alors à l’encontre de cette vision. C'est l'une des raisons à l'origine de la fin du service.
Mais c'est avant tout une histoire de coût. Envoyer des millions de mails génère un coût et des exigences particulières en matière d’infrastructure, alors que Let's Encrypt fournit gratuitement les certificats pour les sites Web. La fin du service devrait permettre à Let's Encrypt de faire des économies.
Par ailleurs, étant donné qu'il existe d'autres services qui offrent cette fonctionnalité et que de nombreuses personnes l'automatisent déjà, ils trouvent probablement logique d'arrêter d'envoyer des courriels. Dans un communiqué publié le 22 janvier 2025 sur son site Web officiel, Let's Encrypt explique :
Envoyé par Let's Encrypt
Depuis sa création, Let's Encrypt envoie des courriels de notification d'expiration aux abonnés qui nous ont fourni une adresse électronique. Nous mettrons fin à ce service le 4 juin 2025. La décision de mettre fin à ce service est le résultat des facteurs suivants :
- Au cours des dix dernières années, de plus en plus de nos abonnés ont été en mesure de mettre en place une automatisation fiable pour le renouvellement des certificats.
- Fournir des courriels de notification d'expiration signifie que nous devons conserver des millions d'adresses électroniques liées aux enregistrements de délivrance. En tant qu'organisation attachant de l'importance à la protection de la vie privée, il est important pour nous de supprimer cette exigence.
- Fournir des notifications d'expiration coûte à Let's Encrypt des dizaines de milliers de dollars par an, de l'argent que nous pensons pouvoir mieux dépenser sur d'autres aspects de notre infrastructure.
- L'envoi de notifications d'expiration ajoute de la complexité à notre infrastructure, ce qui demande du temps et de l'attention pour la gérer et augmente la probabilité de commettre des erreurs. À long terme, en particulier lorsque nous ajouterons de nouveaux composants de services, nous devrons gérer la complexité globale en éliminant progressivement les composants du système qui ne sont plus justifiés.
Que pensent les utilisateurs de ce changement ?
Sur la toile, les avis suscités par ce changement sont mitigés. Pour certains, il est difficile de reprocher à Let's Encrypt de chercher à rationaliser et à réduire ses coûts pour se concentrer sur sa mission, étant donné le succès que le projet a rencontré jusqu'à présent. Internet Security Research Group (ISRG), qui gère le projet Let's Encrypt, est en bonne voie pour atteindre son objectif d'un taux de chiffrement du Web de 100 %, selon les données de l'organisation.
En fournissant gratuitement un protocole stable (ACME), le projet Let's Encrypt a supprimé les pénibles formalités administratives, les frais nominaux qui s'accumulaient entre les domaines et les problèmes de configuration des serveurs Web liés au chiffrement d'un site.
Comme le montre sa page de statistiques, Let's Encrypt a atteint son apogée en proposant un peu moins de 8 millions de certificats de cryptage par jour en décembre 2024 et a vu le pourcentage de pages Web HTTPS grimper régulièrement d'un peu moins de 30 % en 2014 à plus de 80 % au cours de l'année 2024.
« Je pense que c'est une fonction utile. J'ai déjà reçu des notifications lorsqu'il y avait une erreur et je suis reconnaissant qu'ils les aient envoyées au lieu d'avoir à l'apprendre pendant les temps d'arrêt. L'absence de notifications d'erreur est une perte d'une fonctionnalité intéressante, mais en même temps, je reconnais que l'utilisation d'un service gratuit signifie que les utilisateurs ne devraient pas se sentir trop privilégiés », peut-on lire dans les commentaires.
Un autre critique a souligné l'impact économique des courriers électroniques : « le courriel est à la fois bon marché et très coûteux. À partir d'une certaine échelle, la facture commence à s'alourdir. À l'échelle de Let's Encrypt, j'imagine que l'envoi de cet e-mail coûte cher. Si la valeur n'est pas là, alors personnellement je préférerais qu'ils concentrent leurs fonds sur d'autres efforts. Il y a certainement d'autres choses plus importantes ».
« Même les systèmes automatisés peuvent tomber en panne après des mises à jour et des changements de configuration. Les opérateurs ne seront pas nécessairement conscients des problèmes jusqu'à ce que les certificats expirent, potentiellement des mois plus tard. Si les notifications d'erreur étaient facultatives, je pense que de nombreux administrateurs choisiraient encore de les recevoir », a déclaré un autre utilisateur de Let's Encrypt.
Pour d'autres commentateurs, cette décision permet également à Let's Encrypt de renforcer la sécurité de ses propres infrastructures. « Outre la réduction de la charge sur leur infrastructure, ils le font probablement pour éviter que leurs serveurs SMTP sortants ne figurent sur des listes noires basées sur le DNS, étant donné que l'envoi de courriers électroniques représente une charge négligeable sur notre propre infrastructure », a écrit un critique.
Sources : Let's Encrypt, Page de statistiques de Let's Encrypt
Et vous ?
Quel est votre avis sur le sujet ? Que pensez-vous de la fin du service de notification d'expiration de certificat de Let's Encrypt ? Que pensez-vous des raisons avancées par Let's Encrypt pour justifier la fin de ce service de notification ? Quel impact ce changement pourrait-il avoir sur le travail des opérateurs de sites Web inscrits à ce service de notification ?Voir aussi
Let's Encrypt annonce la disponibilité des certificats génériques pour faciliter la gestion des sous-domaines avec un seul certificat La liste des alternatives à Let's Encrypt offrant des certificats gratuits via ACME s'agrandit et comporte des options comme ZeroSSL pour mieux protéger les sites web Let's Encrypt prend désormais en charge l'ACME-CAA, un protocole de communication, pour l'automatisation des échanges entre les autorités de certification