Let’s Encrypt est une Autorite de Certification gratuite, automatisee et a but non lucratif (CA) qui emet des certificats SSL/TLS sans frais. C’est la plus grande CA au monde avec une part de marche de 63,9 % et elle a emis plus d’1 milliard de certificats depuis son lancement en 2016.
Let’s Encrypt est geree par l’Internet Security Research Group (ISRG), soutenue par Mozilla, Google, EFF, Facebook et d’autres.
Comment fonctionne Let’s Encrypt
Let’s Encrypt utilise le protocole ACME (Automated Certificate Management Environment, RFC 8555) pour automatiser l’emission des certificats :
- Prouver la propriete du domaine — Completer une challenge (HTTP-01 ou DNS-01) pour prouver que vous controlez le domaine
- Soumettre un CSR — Votre client ACME envoie un Certificate Signing Request avec votre cle publique
- Recevoir le certificat — Let’s Encrypt signe et renvoie la chaine de certificats
- Installer et renouveler — Deployer le certificat ; renouveler tous les 90 jours
Le processus entier est automatise — pas d’e-mails, pas de formulaires, pas de paiement. Les clients ACME comme GetHTTPS, Certbot et acme.sh gerent le protocole pour vous.
Pourquoi c’est gratuit
La mission de Let’s Encrypt est de rendre HTTPS universel. Modele de revenus :
- Sponsorise par de grandes entreprises technologiques (Google, Mozilla, Meta, Cisco, EFF, etc.)
- Les couts operationnels sont modestes — presque tout est automatise
- Pas de personnel de support pour les utilisateurs individuels — forum communautaire uniquement
- N’emet que des certificats DV — pas de verification d’identite complexe a effectuer
Ce n’est pas du « gratuit comme dans freemium ». Il n’y a pas de niveaux payants, pas de ventes additionnelles, pas de limites concues pour vous pousser vers un plan payant. C’est gratuit parce que le chiffrement devrait etre un standard, pas un luxe.
Limites de taux
Let’s Encrypt a des limites de taux pour prevenir les abus, mais elles sont suffisamment genereueses pour tout usage legitime :
| Limite | Valeur | Notes |
|---|---|---|
| Certificats par domaine enregistre | 50 par semaine | Couvre example.com et tous les sous-domaines |
| Certificats en double | 5 par semaine | Meme ensemble exact de noms de domaine |
| Validations echouees | 5 par heure | Par compte, par nom d’hote |
| Nouvelles inscriptions | 10 par IP par 3 heures | Creation de compte ACME |
| Autorisations en attente | 300 par compte | Challenges incompletes simultanees |
Pour les tests, utilisez l’environnement de staging de Let’s Encrypt — il a des limites beaucoup plus elevees et emet des certificats de test (non reconnus par les navigateurs).
Ce que Let’s Encrypt n’offre pas
- Certificats OV/EV — uniquement Domain Validation (DV)
- Support dedie — forum communautaire uniquement
- Garantie — pas de garantie financiere contre les emissions erronees
- Tableau de bord de gestion des certificats — c’est le role des clients ACME
- Certificats de plus de 90 jours — par conception (la courte validite limite l’exposition en cas de compromission d’une cle)
Pour la plupart des sites web, rien de tout cela n’est necessaire. Les certificats DV fournissent le meme chiffrement que les OV/EV. Voir notre comparaison Let’s Encrypt vs SSL payant.
Comment utiliser Let’s Encrypt
Vous n’interagissez pas directement avec Let’s Encrypt — vous utilisez un client ACME :
| Client | Fonctionnement | Ideal pour |
|---|---|---|
| GetHTTPS | Base sur le navigateur, pas d’installation, cle reste locale | Certificats rapides sans acces serveur |
| Certbot | Outil CLI, renouvellement auto, integration serveur | Serveurs de production avec acces root |
| acme.sh | Script shell, pas de root necessaire | Alternative CLI legere |
| Caddy | ACME integre, HTTPS automatique | Utilisateurs du serveur web Caddy |
Comparaison complete des outils SSL gratuits →
Questions frequemment posees
Let’s Encrypt est-il sur ?
Oui. Les certificats Let’s Encrypt utilisent les memes standards cryptographiques que les certificats payants. Ils sont reconnus par tous les navigateurs et systemes d’exploitation majeurs. Plus de 300 millions de certificats actifs protegent une part significative du web.
Pourquoi des certificats de 90 jours ?
La courte validite limite les dommages en cas de compromission d’une cle privee — un attaquant ne peut utiliser une cle volee que jusqu’a l’expiration du certificat. Cela encourage egalement l’automatisation, qui est plus fiable que le renouvellement manuel. Note : le CA/Browser Forum oriente toutes les CAs vers une validite de 47 jours d’ici 2029.
Puis-je utiliser Let’s Encrypt pour des sites commerciaux ?
Oui. Il n’y a aucune restriction sur l’utilisation commerciale. Les certificats Let’s Encrypt sont utilises par de grandes entreprises, des produits SaaS et des sites e-commerce. La licence ne pose aucune limitation d’usage.
Que se passe-t-il si Let’s Encrypt tombe en panne ?
Les certificats existants continuent de fonctionner jusqu’a leur expiration — ils ne contactent pas le serveur. Vous ne pouvez simplement pas emettre ou renouveler pendant une panne. Let’s Encrypt a un excellent historique de disponibilite et est soutenu par des sponsors bien finances. Si vous etes inquiet, renouvelez vos certificats bien avant l’expiration (jour 60 sur 90).
Let’s Encrypt prend-il en charge les certificats wildcard ?
Oui. Les certificats wildcard (*.example.com) sont pris en charge via la challenge DNS-01. Vous devez ajouter un enregistrement TXT au DNS de votre domaine pour prouver la propriete.
Let’s Encrypt en chiffres
| Indicateur | Valeur |
|---|---|
| Certificats actifs | 300+ millions |
| Part de marche mondiale des CAs | 63,9 % |
| Total de certificats emis | 1+ milliard |
| Type de certificat | DV uniquement |
| Validite | 90 jours |
| Cout | Gratuit |
| Sponsors | Google, Mozilla, Meta, Cisco, EFF, Akamai et d’autres |
| Fondee | 2013 (ISRG), lancement public 2016 |
| Protocole | ACME (RFC 8555) |
| CA racine | ISRG Root X1 |
Pourquoi certaines personnes se mefient de Let’s Encrypt (et pourquoi elles ont tort)
« Gratuit = moins securise » — La force du chiffrement est definie par la specification TLS, pas par la CA. Toutes les CAs utilisent les memes algorithmes. Comparaison gratuit vs payant →
« Pas de garantie = risque » — Les garanties des CAs couvrent les erreurs d’emission de la CA, pas le piratage de votre site. Aucun paiement de garantie significatif n’a jamais ete publiquement documente.
« Certificats de 90 jours = peu fiable » — La courte validite est une fonctionnalite de securite, pas une limitation. Le renouvellement automatique (Certbot) rend cela invisible.
« Les sites de phishing utilisent Let’s Encrypt » — Vrai, mais les sites de phishing utilisent aussi des certificats payants. Les certificats DV verifient le controle du domaine, pas la legitimite du site. C’est par conception — le chiffrement protege les donnees en transit quel que soit l’intention du site.