HTTPS : 50 % du trafic Internet est chiffré… merci Let’s Encrypt

Si on se fie aux derniers chiffres de Mozilla, près de la moitié du trafic Internet est désormais chiffré, un bond de plus de 10 % par rapport à décembre dernier. En prolongeant la tendance de ces dernières semaines, les flux SSL devraient dépasser tout prochainement la barre symbolique des 50 % du trafic total d’Internet. Un seuil qui a d’ailleurs été franchi, de façon éphémère, au cours de la journée du 13 octobre, selon les données de Mozilla (voir capture ci-dessous).

Cette progression spectaculaire de SSL est à rapprocher de l’apparition d’autorités de certification gratuites, comme Let’s Encrypt ou les services proposés par Cloudflare, Amazon ou WordPress. En juin dernier, Let’s Encrypt fêtait son cinq millionième certificat émis. Et le 14 octobre dernier, Josh Aas, directeur de l’Internet Security Research Group et ancien de Mozilla, assurait sur Twitter que l’initiative avait généré plus d’un million de nouveaux certificats actifs au cours de la dernière semaine, pour dépasser les 7,5 millions. « Passer de 40 % (39,5 % précisément quand Let’s Encrypt est entré dans sa phase de bêta publique en décembre dernier) à 50 % est un bond significatif, commente Josh Aas, dans les colonnes de Threatpost. Il est difficile de se représenter ce que pèse 10 % du trafic Internet journalier. »

Online, OVH et Gandi dans l’aventure Let’s Encrypt

Cette croissance rapide est le signe de l’intérêt grandissant des hébergeurs, de plus en plus nombreux à intégrer les certificats de Let’s Encrypt à leurs offres. En France par exemple, deux des principaux hébergeurs, Online et OVH, fournissent gratuitement des certificats issus de cette autorité à tous leurs clients depuis cette année. L’intérêt ? La mise en œuvre de SSL, jusqu’alors assez complexe, devient transparente, puisqu’elle est incluse par défaut dans les offres d’hébergement de la filiale d’Iliad/Free et du Roubaisien. Un troisième hébergeur majeur sur le marché français, Gandi, embarque lui aussi les certificats de Let’s Encrypt dans ses offres. Mais, pour l’instant, seule la première année est gratuite.

L’autorité de certification gratuite Let’s Encrypt, lancée fin 2014 en réponse à la surveillance généralisée de la NSA, est aujourd’hui reconnue par tous les principaux navigateurs. L’initiative, qui émane de l’Internet Security Research Group, est soutenue par des acteurs comme Akamai, Cisco, Facebook, Chrome (donc Google), l’Internet Society et Mozilla. OVH a rejoint le mouvement en devenant, fin 2015, partenaire platinum de l’initiative. Free, Gandi et Gemalto soutiennent également le consortium.

La généralisation du HTTPS est également appuyée par les éditeurs de navigateurs. Ainsi Google, leader sur ce segment avec Chrome, a mis son poids dans la balance en annonçant que son navigateur allait signaler comme non sécurisés les sites ne proposant pas une connexion HTTPS. Les premières alertes doivent apparaître avec Chrome 56, attendu en janvier 2017. Par ailleurs, le géant de la recherche assure, depuis la mi-2014, qu’il va peu à peu favoriser le référencement des sites HTTPS aux dépens de ceux se passant de cette couche de sécurisation.

Google dresse un état des lieux sur HTTPS