Cette FAQ est divisée en deux sections:
Let’s Encrypt est une autorité de certification globale (CA). Nous laissons les personnes et les organisations du monde entier obtenir, renouveler et gérer les certificats SSL/TLS. Nos certificats peuvent être utilisés par les sites Web pour permettre des connexions HTTPS sécurisées.
Let’s Encrypt propose des certificats de validation de domaine (DV). Nous n’offrons pas de validation d’organisation (OV) ni de validation étendue (EV) principalement parce que nous ne pouvons pas automatiser l’émission de ces types de certificats.
Pour commencer à utiliser Let’s Encrypt, veuillez visiter notre page Commencer à utiliser.
Nous ne facturons pas de frais pour nos certificats. Let’s Encrypt est un organisme à but non lucratif, notre mission est de créer un Web plus sécurisé et respectueux de la vie privée en promouvant l’adoption généralisée de HTTPS. Nos services sont gratuits et faciles à utiliser afin que chaque site web puisse déployer HTTPS.
Nous avons besoin du soutien de mécènes, de subventions d’organismes et particuliers généreux afin de fournir nos services gratuitement dans le monde entier. Si vous souhaitez nous soutenir, pensez à faire un don ou à devenir un sponsor.
Dans certains cas, les intégrateurs (par exemple, les hébergeurs) factureront des frais nominaux qui reflètent les coûts administratifs et de gestion qu’ils encourent pour fournir des certificats Let’s Encrypt.
Let’s Encrypt est géré par une petite équipe et s’appuie sur l’automatisation pour réduire les coûts. Cela étant, nous ne sommes pas en mesure d’offrir un soutien direct à nos abonnés. Nous avons toutefois de grandes options de soutien :
Voici une vidéo que nous aimons à propos de la puissance du grand support de la communauté.
Nous recommandons de signaler ces sites à Google Safe Browsing et au programme Microsoft Smart Screen, qui sont en mesure de protéger plus efficacement les utilisateurs. Voici les URL de rapport :
Si vous souhaitez en savoir plus sur nos politiques et nos raisons, vous pouvez le faire ici :
https://letsencrypt.org/2015/10/29/phishing-and-malware.html
Pour la plupart des navigateurs et systèmes d’exploitation, oui. Vous pouvez consulter la liste de comptabilité pour plus de détails.
Les certificats Let’s Encrypt sont des certificats standard de validation de domaine, vous pouvez donc les utiliser pour tout serveur qui utilise un nom de domaine, comme les serveurs Web, les serveurs de messagerie, les serveurs FTP et bien d’autres.
Le chiffrement de courriel et la signature de code nécessitent un autre type de certificat que Let’s Encrypt ne propose pas.
Non. Jamais.
La clé privée est toujours générée et gérée par vos propres serveurs, et non pas par l’autorité de certification Let’s Encrypt.
Nos certificats sont valides pendant 90 jours. Cet article explique pourquoi.
Il n’est pas possible d’ajuster cela, et il n’y a aucune exception. Nous recommandons de renouveler automatiquement vos certificats tous les 60 jours.
Nous n’avons pas prévu d’émettre de certificats OV ou EV.
Oui, le même certificat peut contenir plusieurs noms différents en utilisant le mécanisme « Subject Alternative Name (SAN) ».
Oui. L’émission de Wildcard doit se faire via ACMEv2 en utilisant le challenge DNS-01. Consultez ce message pour plus d’informations techniques.
Il y a un grand nombre de clients ACME disponibles. Il y a de fortes chances que cela fonctionne sans problème sur votre système. Nous vous recommandons de commencer par Certbot.
Oui, mais tous les clients ne supportent pas cette fonction. Certbot le fait.
C’est normal et prévu. Au cours du processus de délivrance du certificat, Let’s Encrypt validera le contrôle de votre domaine à partir de plusieurs sources du réseau . Après une validation réussie, votre certificat sera soumis à de nombreux journaux de transparence des certificats (CT). Voir ici pour plus de détails sur les motifs de cette démarche. Peu de temps après la soumission du certificat à CT, les robots informatiques de CT seront en mesure de découvrir votre domaine, de tenter d’y accéder et de générer du trafic dans les journaux de votre serveur web.
Nous ne publions pas de liste d’adresses IP que nous utilisons pour valider, et ces adresses IP peuvent changer à tout moment. Notez que nous validons maintenant à partir de plusieurs adresses IP.
Dès que vous avez terminé avec succès les challenges pour un domaine, l’autorisation résultante est mise en cache pour que votre compte puisse être réutilisé plus tard. Les autorisations mises en cache ont une durée de 30 jours à compter de la validation. Si le certificat que vous avez demandé comporte toutes les autorisations nécessaires mises en cache, la validation ne se fera plus jusqu’à l’expiration des autorisations mises en cache correspondantes.
Nous demandons aux clients ACME d’effectuer les renouvellements de routine à des moments aléatoires afin d’éviter les pics de trafic à des moments précis de la journée, tels que minuit UTC, ou la première seconde de chaque heure ou minute. Lorsque le service est trop occupé, les clients sont invités à réessayer plus tard, de sorte que la randomisation des délais de renouvellement permet d’éviter les tentatives inutiles.
Ivan Ristić, chercheur et praticien de la sécurité de longue date, a publié un guide de configuration qui fournit des informations utiles sur ce que vous devez prendre en compte lors de la mise en place de votre configuration TLS.
Pour un contenu plus complet et plus détaillé, nous recommandons Bulletproof TLS and PKI, également écrit par Ristić.