{"id":255,"date":"2026-06-19T08:00:00","date_gmt":"2026-06-19T08:00:00","guid":{"rendered":"https:\/\/shattered.io\/fr\/2026\/06\/19\/lets-encrypt-vs-ssl-payant\/"},"modified":"2026-06-19T08:00:00","modified_gmt":"2026-06-19T08:00:00","slug":"lets-encrypt-vs-ssl-payant","status":"publish","type":"post","link":"https:\/\/shattered.io\/fr\/2026\/06\/19\/lets-encrypt-vs-ssl-payant\/","title":{"rendered":"Let’s Encrypt vs SSL Payant : 762M de Sites, 0\u20ac vs 170\u20ac\/an [2026]"},"content":{"rendered":"\n

En juin 2026, Let’s Encrypt s\u00e9curise 762 millions de sites web<\/strong> et \u00e9met 10 millions de certificats SSL par jour, gratuitement. Pendant ce temps, les autorit\u00e9s de certification commerciales continuent de facturer entre 4\u20ac et 1 500\u20ac par an pour des certificats dont le chiffrement est, techniquement, identique. Ce comparatif r\u00e9pond \u00e0 une question que se posent des milliers de d\u00e9veloppeurs, sysadmins et DSI chaque mois : un certificat SSL gratuit est-il vraiment suffisant, ou faut-il payer ?<\/strong><\/p>\n\n\n\n

La r\u00e9ponse d\u00e9pend de votre contexte, et elle est plus nuanc\u00e9e qu’un simple “gratuit suffit”. Le CA\/Browser Forum a officialis\u00e9 en f\u00e9vrier 2026 une dur\u00e9e de validit\u00e9 maximale de 199 jours pour tous les certificats TLS publics, ce qui rapproche encore les deux mondes. Voici ce que ce comparatif r\u00e9v\u00e8le, chiffres \u00e0 l’appui.<\/p>\n\n\n\n

Tableau de comparaison : Let’s Encrypt vs certificats SSL payants<\/h2>\n\n\n\n

Avant d’entrer dans les d\u00e9tails, voici une vue synth\u00e9tique des diff\u00e9rences essentielles entre un certificat SSL gratuit<\/strong> (Let’s Encrypt, Cloudflare) et les offres payantes des principales autorit\u00e9s de certification.<\/p>\n\n\n\n

Crit\u00e8re<\/th>Let’s Encrypt (gratuit)<\/th>SSL payant (DV)<\/th>SSL payant (OV)<\/th>SSL payant (EV)<\/th><\/tr><\/thead>
Prix annuel<\/td>0\u20ac<\/strong><\/td>4\u20ac \u2013 45\u20ac\/an<\/td>35\u20ac \u2013 110\u20ac\/an<\/td>55\u20ac \u2013 170\u20ac\/an<\/td><\/tr>
Validation<\/td>Domaine uniquement (DV)<\/td>Domaine uniquement (DV)<\/td>Domaine + organisation<\/td>Identit\u00e9 \u00e9tendue (16 v\u00e9rifications)<\/td><\/tr>
Dur\u00e9e de validit\u00e9<\/td>90 jours<\/td>90 \u00e0 199 jours (2026)<\/td>90 \u00e0 199 jours<\/td>90 \u00e0 199 jours<\/td><\/tr>
Certificat wildcard<\/td>Oui, gratuit<\/td>Oui, 45\u20ac \u2013 180\u20ac\/an<\/td>Oui, 60\u20ac \u2013 200\u20ac\/an<\/td>Limit\u00e9, 150\u20ac+\/an<\/td><\/tr>
Chiffrement<\/td>RSA 2048 bits \/ ECDSA P-256<\/td>Identique<\/td>Identique<\/td>Identique<\/td><\/tr>
Automatisation ACME<\/td>Natif (Certbot, acme.sh)<\/td>Partielle<\/td>Partielle<\/td>Non (validation manuelle)<\/td><\/tr>
Support<\/td>Forums communautaires<\/td>Email \/ ticket<\/td>Email + t\u00e9l\u00e9phone<\/td>SLA contractuel<\/td><\/tr>
Compatibilit\u00e9 navigateurs<\/td>99,9% (depuis 2021)<\/td>99,9%<\/td>99,9%<\/td>99,9%<\/td><\/tr>
Indicateur EV dans Chrome<\/td>N\/A<\/td>N\/A<\/td>N\/A<\/td>Supprim\u00e9 depuis 2018<\/td><\/tr>
Limite de d\u00e9bit<\/td>5 certs\/domaine\/semaine<\/td>Aucune<\/td>Aucune<\/td>Aucune<\/td><\/tr>
Garantie financi\u00e8re<\/td>Aucune<\/td>Variable selon prestataire<\/td>Variable selon prestataire<\/td>Jusqu’\u00e0 1,75 M$ (DigiCert)<\/td><\/tr>
Certificate Transparency<\/td>Obligatoire<\/td>Obligatoire<\/td>Obligatoire<\/td>Obligatoire<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Let’s Encrypt en 2026 : l’essor du certificat SSL gratuit<\/h2>\n\n\n\n

Lanc\u00e9 en 2015 par l’Internet Security Research Group (ISRG), Let’s Encrypt a atteint en 2025 un jalon historique : 762 millions de sites s\u00e9curis\u00e9s<\/strong>, contre 492 millions l’ann\u00e9e pr\u00e9c\u00e9dente, soit une progression de 55% en un an. \u00c0 ce rythme, le milliard de sites actifs est pr\u00e9vu courant 2026. Ces chiffres classent Let’s Encrypt comme la premi\u00e8re autorit\u00e9 de certification du monde par volume, loin devant tous ses concurrents commerciaux.<\/p>\n\n\n\n

W3Techs confirme cette domination : Let’s Encrypt repr\u00e9sente 63,7% des parts de march\u00e9<\/strong> parmi les certificats SSL connus, devant GlobalSign (22,4%) et Sectigo (5,9%). En cumul\u00e9 depuis sa cr\u00e9ation, l’ISRG a \u00e9mis plus de 7 milliards de certificats<\/strong>, au rythme actuel de 10 millions par jour. Pour rappel, ces certificats sont enti\u00e8rement gratuits, et leur niveau de chiffrement est techniquement identique \u00e0 celui des offres payantes les plus ch\u00e8res.<\/p>\n\n\n\n

La popularit\u00e9 de Let’s Encrypt s’explique par trois facteurs structurels. D’abord, l’automatisation totale via le protocole ACME (Automatic Certificate Management Environment), pris en charge nativement par Nginx, Apache, Caddy et la plupart des h\u00e9bergeurs. Ensuite, la gratuit\u00e9 absolue, sans p\u00e9riode d’essai ni limitation fonctionnelle. Enfin, la confiance universelle : depuis 2021, le certificat racine ISRG Root X1 est int\u00e9gr\u00e9 directement dans tous les navigateurs et syst\u00e8mes d’exploitation majeurs, y compris les versions Android ant\u00e9rieures \u00e0 7.1 qui d\u00e9pendaient auparavant d’une cha\u00eene crois\u00e9e avec IdenTrust.<\/p>\n\n\n\n

Un chiffre r\u00e9v\u00e9lateur : selon TechnologyChecker, 83,2% des domaines qui utilisent Let’s Encrypt appartiennent \u00e0 des organisations de moins de 10 employ\u00e9s. Cela signifie que le choix Let’s Encrypt est souvent un choix par d\u00e9faut, activ\u00e9 automatiquement par le panneau de contr\u00f4le de l’h\u00e9bergeur, et non une d\u00e9cision consciente de l’\u00e9quipe technique. Cette “adoption infrastructurelle” acc\u00e9l\u00e8re encore la progression des chiffres.<\/p>\n\n\n\n

Let’s Encrypt supporte deux m\u00e9thodes de validation de domaine : HTTP-01 (fichier d\u00e9pos\u00e9 sur le serveur) et DNS-01 (enregistrement TXT dans la zone DNS), ce dernier \u00e9tant obligatoire pour les certificats wildcard. La limite technique principale reste le d\u00e9bit : 5 certificats par domaine et par semaine<\/strong>, ce qui peut bloquer des d\u00e9ploiements CI\/CD intensifs sans optimisation pr\u00e9alable.<\/p>\n\n\n\n

Depuis sa cr\u00e9ation, Let’s Encrypt a b\u00e9n\u00e9fici\u00e9 du soutien financier de Google, Mozilla, Cisco, Akamai et de l’EFF. Son mod\u00e8le de financement par dons et sponsors lui permet de maintenir une infrastructure qui \u00e9met 10 millions de certificats par jour sans facturer les utilisateurs. Cette structure \u00e0 but non lucratif est l’un des fondements de la confiance que lui accordent les grandes plateformes.<\/p>\n\n\n\n

Les certificats SSL payants : DV, OV et EV d\u00e9crypt\u00e9s<\/h2>\n\n\n\n

Le march\u00e9 des certificats SSL payants<\/strong> se structure autour de trois niveaux de validation, qui ont des implications tr\u00e8s diff\u00e9rentes selon le cas d’usage.<\/p>\n\n\n\n

DV : validation de domaine uniquement<\/h3>\n\n\n\n

Le certificat DV (Domain Validation) v\u00e9rifie uniquement que le demandeur contr\u00f4le le domaine concern\u00e9. Le processus est automatis\u00e9 et ne prend que quelques minutes. Sur le plan cryptographique, un certificat DV payant de Namecheap \u00e0 4\u20ac\/an est strictement identique<\/strong> \u00e0 un certificat Let’s Encrypt. Les deux utilisent le m\u00eame chiffrement TLS, la m\u00eame r\u00e9sistance aux attaques, et affichent le m\u00eame cadenas dans le navigateur. Payer pour un DV ne procure aucun avantage de s\u00e9curit\u00e9 mesurable par rapport \u00e0 Let’s Encrypt.<\/p>\n\n\n\n

Les DV payants pr\u00e9sentent n\u00e9anmoins quelques avantages op\u00e9rationnels dans des cas sp\u00e9cifiques : absence de limitation de d\u00e9bit (contrairement aux 5 certificats\/domaine\/semaine de Let’s Encrypt), support commercial en cas de probl\u00e8me de validation, et compatibilit\u00e9 avec certains environnements o\u00f9 l’acc\u00e8s \u00e0 l’API Let’s Encrypt est bloqu\u00e9 par un pare-feu ou un proxy d’entreprise.<\/p>\n\n\n\n

OV : validation de l’organisation<\/h3>\n\n\n\n

Le certificat OV (Organization Validation) exige de l’autorit\u00e9 de certification qu’elle v\u00e9rifie l’existence l\u00e9gale de l’organisation demandeuse, son adresse et son num\u00e9ro de t\u00e9l\u00e9phone actif. Cette v\u00e9rification prend 1 \u00e0 3 jours ouvrables. Le certificat OV peut contenir le nom de l’organisation dans ses m\u00e9tadonn\u00e9es, visible en cliquant sur le cadenas dans certains navigateurs. Il est pr\u00e9f\u00e9r\u00e9 par les entreprises qui souhaitent afficher une identit\u00e9 v\u00e9rifi\u00e9e sans passer par le processus EV complet.<\/p>\n\n\n\n

Le certificat OV est souvent exig\u00e9 dans les cahiers des charges d’appels d’offre publics en France, notamment pour les collectivit\u00e9s territoriales et les \u00e9tablissements publics. L’ANSSI recommande ce niveau de validation pour les services num\u00e9riques qui traitent des donn\u00e9es sensibles non-personnelles mais strat\u00e9giques, comme les syst\u00e8mes de gestion documentaire ou les portails fournisseurs.<\/p>\n\n\n\n

EV : validation \u00e9tendue, usage en d\u00e9clin rapide<\/h3>\n\n\n\n

Le certificat EV (Extended Validation) impose 16 v\u00e9rifications d’identit\u00e9 suppl\u00e9mentaires, incluant la documentation l\u00e9gale, les droits de marque et la confirmation d’une ligne t\u00e9l\u00e9phonique op\u00e9rationnelle. Il repr\u00e9sente le niveau de confiance maximal offert par une autorit\u00e9 de certification. Cependant, son utilit\u00e9 pratique a fortement chut\u00e9 depuis 2018, quand Chrome, puis Safari, ont supprim\u00e9 l’indicateur visuel “barre verte” qui distinguait les sites EV. Aujourd’hui, les certificats EV ne repr\u00e9sentent plus que 1 \u00e0 2% des certificats HTTPS actifs<\/strong>, en baisse constante. Le co\u00fbt justifi\u00e9 d’un EV se r\u00e9duit d\u00e9sormais \u00e0 des obligations contractuelles sp\u00e9cifiques.<\/p>\n\n\n\n

Tableau des prix SSL 2026 : de 0\u20ac \u00e0 1 500\u20ac par an<\/h2>\n\n\n\n

Le march\u00e9 des certificats SSL payants pr\u00e9sente une dispersion de prix consid\u00e9rable. Les offres promotionnelles des h\u00e9bergeurs masquent souvent les tarifs de renouvellement bien plus \u00e9lev\u00e9s. Voici les prix r\u00e9els constat\u00e9s en 2026.<\/p>\n\n\n\n

Autorit\u00e9 \/ Produit<\/th>DV (1 domaine)<\/th>OV (1 domaine)<\/th>EV (1 domaine)<\/th>Wildcard DV<\/th><\/tr><\/thead>
Let’s Encrypt<\/strong><\/td>0\u20ac<\/strong><\/td>Non disponible<\/td>Non disponible<\/td>0\u20ac<\/strong><\/td><\/tr>
Cloudflare SSL<\/strong><\/td>0\u20ac<\/strong> (DV auto)<\/td>Via plan Business<\/td>Certificat fourni par l’utilisateur<\/td>0\u20ac<\/strong><\/td><\/tr>
Sectigo (Comodo)<\/strong><\/td>4\u20ac \u2013 27\u20ac\/an<\/td>27\u20ac \u2013 83\u20ac\/an<\/td>45\u20ac \u2013 128\u20ac\/an<\/td>32\u20ac \u2013 49\u20ac\/an<\/td><\/tr>
DigiCert<\/strong><\/td>Via revendeurs<\/td>155\u20ac \u2013 825\u20ac\/an<\/td>914\u20ac \u2013 1 056\u20ac\/an<\/td>825\u20ac \u2013 1 434\u20ac\/an<\/td><\/tr>
GlobalSign<\/strong><\/td>4\u20ac \u2013 28\u20ac\/an<\/td>36\u20ac \u2013 91\u20ac\/an<\/td>45\u20ac \u2013 138\u20ac\/an<\/td>46\u20ac \u2013 138\u20ac\/an<\/td><\/tr>
GoDaddy SSL<\/strong><\/td>0,91\u20ac \u2013 9\u20ac\/an (promo 1re ann\u00e9e)<\/td>55\u20ac \u2013 91\u20ac\/an<\/td>91\u20ac \u2013 138\u20ac\/an<\/td>64\u20ac \u2013 138\u20ac\/an<\/td><\/tr>
Namecheap<\/strong><\/td>0,91\u20ac \u2013 8\u20ac\/an<\/td>32\u20ac \u2013 87\u20ac\/an<\/td>46\u20ac \u2013 128\u20ac\/an<\/td>32\u20ac \u2013 49\u20ac\/an<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Point d’attention sur les prix GoDaddy :<\/strong> les tarifs promotionnels de premi\u00e8re ann\u00e9e (souvent inf\u00e9rieurs \u00e0 1\u20ac) sont des offres d’appel. Le renouvellement revient \u00e0 30\u20ac \u2013 40\u20ac\/an pour un DV standard. Les tarifs DigiCert s’adressent principalement aux grands comptes, via des contrats pluriannuels n\u00e9goci\u00e9s incluant une garantie financi\u00e8re pouvant atteindre 1,75 million de dollars. Pour un d\u00e9veloppeur ou une PME, Sectigo et GlobalSign offrent les meilleurs rapports qualit\u00e9\/prix parmi les certificats payants.<\/p>\n\n\n\n

S\u00e9curit\u00e9 et chiffrement : gratuit est-il vraiment \u00e9gal \u00e0 payant ?<\/h2>\n\n\n\n

La question que se posent le plus souvent les d\u00e9cideurs : un certificat SSL gratuit est-il moins s\u00e9curis\u00e9 ?<\/strong> La r\u00e9ponse courte est non, et les d\u00e9tails sont importants \u00e0 comprendre.<\/p>\n\n\n\n

Tous les certificats TLS publics, qu’ils proviennent de Let’s Encrypt ou de DigiCert, utilisent les m\u00eames algorithmes cryptographiques approuv\u00e9s par le CA\/Browser Forum. Let’s Encrypt d\u00e9livre des certificats RSA 2048 bits ou ECDSA P-256, les deux options consid\u00e9r\u00e9es comme s\u00fbres par le NIST pour un horizon de s\u00e9curit\u00e9 2026 \u2013 2030. Le chiffrement en transit entre le navigateur et le serveur est identique, peu importe ce que vous avez pay\u00e9 pour le certificat.<\/p>\n\n\n\n

La vraie distinction entre gratuit et payant ne porte pas sur le chiffrement, mais sur l’identit\u00e9 v\u00e9rifi\u00e9e<\/strong>. Un certificat DV (qu’il soit gratuit ou payant) prouve uniquement que vous contr\u00f4lez le domaine. Il ne dit rien sur qui est la personne ou l’organisation derri\u00e8re ce domaine. C’est pr\u00e9cis\u00e9ment pourquoi des sites de phishing peuvent utiliser des certificats SSL valides, y compris des certificats Let’s Encrypt. Le cadenas dans la barre d’adresse signifie que la connexion est chiffr\u00e9e, pas que le site est l\u00e9gitime.<\/p>\n\n\n\n

Sur le plan de la r\u00e9sistance quantique, ni Let’s Encrypt ni les certificats payants actuels n’offrent encore de protection post-quantique en production. Le NIST a finalis\u00e9 en 2024 ses standards PQC (CRYSTALS-Kyber pour l’\u00e9change de cl\u00e9s, CRYSTALS-Dilithium pour les signatures), mais leur d\u00e9ploiement dans les certificats TLS publics est encore en phase de test pour l’ensemble du secteur. L’ANSSI recommande d’anticiper cette transition d’ici 2030, ind\u00e9pendamment du type de certificat SSL choisi aujourd’hui.<\/p>\n\n\n\n

Un point souvent sous-estim\u00e9 : la dur\u00e9e de vie courte de 90 jours des certificats Let’s Encrypt est un avantage de s\u00e9curit\u00e9<\/strong>, pas un inconv\u00e9nient. En cas de compromission d’une cl\u00e9 priv\u00e9e, un certificat qui expire dans 45 jours en moyenne limite consid\u00e9rablement la fen\u00eatre d’exposition. Les certificats payants valides pendant 199 jours (le nouveau maximum depuis 2026) exposent potentiellement deux fois plus longtemps. C’est la logique qui a pouss\u00e9 le CA\/Browser Forum \u00e0 r\u00e9duire les dur\u00e9es de validit\u00e9, en convergeant vers le mod\u00e8le de Let’s Encrypt.<\/p>\n\n\n\n

Les journaux Certificate Transparency (CT) jouent un r\u00f4le cl\u00e9 dans la d\u00e9tection des \u00e9missions frauduleuses. En 2025, environ 3,2 milliards de certificats TLS publics<\/strong> ont \u00e9t\u00e9 enregistr\u00e9s dans ces logs, avec une moyenne de 8,8 millions de nouveaux enregistrements par jour. Tous les navigateurs modernes exigent que les certificats apparaissent dans au moins deux logs CT ind\u00e9pendants, ce qui s’applique aussi bien \u00e0 Let’s Encrypt qu’aux certificats commerciaux. Ce syst\u00e8me rend la surveillance des abus possible pour n’importe quel domaine, gratuitement, via des outils comme crt.sh.<\/p>\n\n\n\n

Certificat SSL wildcard : la victoire du gratuit<\/h2>\n\n\n\n

Un certificat wildcard SSL<\/strong> couvre un domaine principal et tous ses sous-domaines (*.example.com). Cette fonctionnalit\u00e9 est particuli\u00e8rement utile pour les services SaaS \u00e0 architecture multi-tenant, les plateformes e-commerce avec sous-domaines par boutique, ou les applications avec environnements staging\/production\/dev s\u00e9par\u00e9s.<\/p>\n\n\n\n

Let’s Encrypt propose des certificats wildcard gratuitement depuis 2018<\/strong>, via la validation DNS-01. Cette m\u00e9thode n\u00e9cessite de cr\u00e9er un enregistrement TXT dans la zone DNS du domaine, ce qui exige soit un acc\u00e8s direct \u00e0 l’API DNS de votre registrar (support\u00e9 par acme.sh et Certbot pour AWS Route 53, Cloudflare, OVH, et 150+ autres registrars), soit une intervention manuelle lors du renouvellement tous les 90 jours.<\/p>\n\n\n\n

# Obtenir un certificat wildcard avec Certbot et le plugin Cloudflare DNS\ncertbot certonly \\\n  --dns-cloudflare \\\n  --dns-cloudflare-credentials ~\/.secrets\/cloudflare.ini \\\n  -d example.com \\\n  -d *.example.com \\\n  --preferred-challenges dns-01\n\n# Le certificat sera valide pour example.com ET tous ses sous-domaines :\n# app.example.com, api.example.com, staging.example.com, etc.<\/code><\/pre>\n\n\n\n
Les certificats wildcard payants des grands acteurs co\u00fbtent entre 32\u20ac et 200\u20ac par an selon le niveau de validation et le fournisseur. DigiCert propose des wildcard OV \u00e0 partir de 825\u20ac\/an, un tarif qui ne refl\u00e8te pas une meilleure s\u00e9curit\u00e9 cryptographique mais une garantie financi\u00e8re contractuelle et un support SLA inclus. Sectigo et GlobalSign proposent des wildcard DV autour de 35\u20ac \u2013 50\u20ac\/an, ce qui reste moins int\u00e9ressant qu’un wildcard Let’s Encrypt \u00e0 0\u20ac pour la quasi-totalit\u00e9 des projets.<\/p>\n\n\n\n
La seule situation o\u00f9 un wildcard payant s’impose face \u00e0 Let’s Encrypt : lorsque la rotation automatique DNS-01 n’est pas possible (registrar sans API ACME, environnement restreint) et que la gestion manuelle tous les 90 jours est trop contraignante. Dans ce cas pr\u00e9cis, un wildcard annuel payant r\u00e9duit la fr\u00e9quence des interventions manuelles.<\/p>\n\n\n\n
Dur\u00e9e de validit\u00e9 SSL : la r\u00e8gle des 199 jours change tout en 2026<\/h2>\n\n\n\n
Le CA\/Browser Forum a officialis\u00e9 en f\u00e9vrier 2026 une d\u00e9cision majeure : la dur\u00e9e de validit\u00e9 maximale<\/strong> pour les certificats TLS publics est d\u00e9sormais de 199 jours<\/strong> (environ 6,5 mois). DigiCert a arr\u00eat\u00e9 d’\u00e9mettre des certificats de 397 jours le 24 f\u00e9vrier 2026. Les autres grandes autorit\u00e9s de certification ont suivi dans les semaines qui ont suivi. Ce changement redistribue les cartes en r\u00e9duisant l’avantage traditionnel des certificats payants sur Let’s Encrypt.<\/p>\n\n\n\n
L’argument historique des vendeurs de certificats payants (“un certificat payant dure un an, Let’s Encrypt seulement 3 mois, c’est plus simple \u00e0 g\u00e9rer”) perd de sa substance quand la dur\u00e9e maximale autoris\u00e9e tombe \u00e0 199 jours, soit un renouvellement tous les 6 mois minimum. Cette \u00e9volution rend l’automatisation incontournable pour tous les acteurs, qu’ils utilisent des certificats gratuits ou payants.<\/p>\n\n\n\n
La distribution actuelle des dur\u00e9es de validit\u00e9 en 2026 : 75% des certificats actifs expirent dans 90 jours<\/strong> (mod\u00e8le Let’s Encrypt et Cloudflare), 22% dans les 199 jours impartis par la nouvelle r\u00e8gle, et seulement 3% sur des dur\u00e9es sup\u00e9rieures, principalement des certificats anciens en cours d’expiration naturelle. Le march\u00e9 converge vers des cycles courts, ce qui repr\u00e9sente une victoire du mod\u00e8le Let’s Encrypt sur le long terme.<\/p>\n\n\n\n
Cette \u00e9volution vers des cycles courts renforce la n\u00e9cessit\u00e9 d’une automatisation robuste du renouvellement, quel que soit le certificat choisi. Un certificat payant qui expire tous les 6 mois sans processus automatis\u00e9 g\u00e9n\u00e8re autant de friction op\u00e9rationnelle qu’un certificat Let’s Encrypt renouvel\u00e9 tous les 90 jours avec Certbot. Les \u00e9quipes qui refusaient d’automatiser sous pr\u00e9texte que “le certificat payant dure un an” n’ont plus d’argument technique pour justifier cette approche manuelle.<\/p>\n\n\n\n
ACME, Certbot et acme.sh : l’automatisation qui change tout<\/h2>\n\n\n\n
Le protocole ACME (RFC 8555) est le moteur invisible derri\u00e8re la mont\u00e9e en puissance de Let’s Encrypt et de l’automatisation TLS en g\u00e9n\u00e9ral. Plus de 150 clients ACME actifs<\/strong> existent en 2026, dont certbot (Python, recommand\u00e9 par l’EFF), acme.sh (shell script, 150+ fournisseurs DNS support\u00e9s), Pebble (test), Caddy (int\u00e9gr\u00e9 nativement) et Traefik (int\u00e9gr\u00e9 nativement). Selon les estimations du secteur, plus de 80% des certificats \u00e9mis de fa\u00e7on automatis\u00e9e passent par le protocole ACME.<\/p>\n\n\n\n
# Installation et configuration Certbot sur Ubuntu 22.04 \/ 24.04\nsudo apt update && sudo apt install certbot python3-certbot-nginx -y\n\n# Obtenir et installer un certificat pour Nginx (automatique)\nsudo certbot --nginx -d example.com -d www.example.com\n\n# Les certificats sont stock\u00e9s dans :\n# \/etc\/letsencrypt\/live\/example.com\/fullchain.pem\n# \/etc\/letsencrypt\/live\/example.com\/privkey.pem\n\n# Tester le renouvellement automatique\nsudo certbot renew --dry-run\n\n# V\u00e9rifier le timer systemd\nsudo systemctl status certbot.timer<\/code><\/pre>\n\n\n\n
L’automatisation via ACME pr\u00e9sente un avantage souvent n\u00e9glig\u00e9 : elle force une bonne hygi\u00e8ne de gestion des certificats<\/strong>. Les \u00e9quipes qui automatisent le renouvellement tous les 90 jours d\u00e9tectent imm\u00e9diatement les ruptures de configuration (DNS mal configur\u00e9, serveur inaccessible, pare-feu bloquant le port 80 pour la validation HTTP-01). Les \u00e9quipes qui renouvellent manuellement leurs certificats payants une fois par an d\u00e9couvrent souvent le probl\u00e8me au moment de l’expiration.<\/p>\n\n\n\n
Pour les environnements Kubernetes, cert-manager est la solution de r\u00e9f\u00e9rence. Elle g\u00e8re le cycle de vie complet des certificats TLS via des ressources CRD (Certificate, Issuer, ClusterIssuer), avec un support natif de Let’s Encrypt et de plusieurs autorit\u00e9s de certification commerciales compatibles ACME. Pour les architectures serverless et les fonctions as-a-service, les plateformes (Vercel, Netlify, AWS Amplify) int\u00e8grent nativement Let’s Encrypt et g\u00e8rent le renouvellement de fa\u00e7on transparente.<\/p>\n\n\n\n
Une alternative populaire \u00e0 Certbot est acme.sh, un script shell l\u00e9ger qui supporte plus de 150 fournisseurs DNS pour la validation DNS-01. Particuli\u00e8rement adapt\u00e9 aux environnements o\u00f9 Python n’est pas disponible ou aux NAS (Synology, QNAP) et routeurs (pfSense, OPNsense), acme.sh est souvent pr\u00e9f\u00e9r\u00e9 par les administrateurs syst\u00e8me pour sa flexibilit\u00e9.<\/p>\n\n\n\n
5 cas d’usage concrets : qui utilise quoi et pourquoi<\/h2>\n\n\n\n
La th\u00e9orie mise de c\u00f4t\u00e9, voici comment les grands acteurs du web ont r\u00e9ellement tranch\u00e9 la question du certificat SSL, et ce que leurs choix r\u00e9v\u00e8lent sur les crit\u00e8res de d\u00e9cision.<\/p>\n\n\n\n
1. GitHub (Microsoft) : Let’s Encrypt pour les millions de sous-domaines.<\/strong> Microsoft utilise des certificats Let’s Encrypt pour s\u00e9curiser les sites h\u00e9berg\u00e9s sur GitHub Pages. Un projet open source qui utilise un domaine personnalis\u00e9 sur pages.github.io re\u00e7oit automatiquement un certificat DV Let’s Encrypt. Pour ses propres propri\u00e9t\u00e9s corporate (github.com, microsoft.com), Microsoft utilise des certificats commerciaux avec validation OV, ce qui illustre une distinction claire entre l’infrastructure utilisateur et les propri\u00e9t\u00e9s de la marque.<\/p>\n\n\n\n
2. Cloudflare : DV gratuit par d\u00e9faut, 20 millions de sites prot\u00e9g\u00e9s.<\/strong> Cloudflare d\u00e9livre gratuitement des certificats DV (Let’s Encrypt ou issus de son propre CA) sur son proxy CDN. Les clients Pro (20$\/mois) et Business (200$\/mois) peuvent importer leurs propres certificats OV ou EV. La majorit\u00e9 des 20 millions de sites prot\u00e9g\u00e9s par Cloudflare utilisent le DV gratuit, y compris des marques reconnues dans les domaines du e-commerce et des m\u00e9dias.<\/p>\n\n\n\n
3. \u00c9tablissement bancaire fran\u00e7ais (cas type) : OV par obligation r\u00e9glementaire.<\/strong> Les \u00e9tablissements bancaires fran\u00e7ais sous supervision ACPR maintiennent g\u00e9n\u00e9ralement des certificats OV, non pas pour leur niveau de chiffrement, mais pour des raisons de conformit\u00e9 r\u00e9glementaire et de politique de gestion du risque interne. Plusieurs RSSI de banques confirment que ce choix est davantage guid\u00e9 par les audits de conformit\u00e9 ISO 27001 que par une sup\u00e9riorit\u00e9 technique r\u00e9elle. Le co\u00fbt annuel des certificats OV repr\u00e9sente souvent moins de 0,1% du budget s\u00e9curit\u00e9 de l’\u00e9tablissement.<\/p>\n\n\n\n
4. Startup SaaS B2B fran\u00e7aise : migration vers Let’s Encrypt, \u00e9conomie de 12 000\u20ac\/an.<\/strong> Une startup fran\u00e7aise de gestion RH avec une architecture multi-tenant (un sous-domaine par client) a migr\u00e9 en 2025 vers des certificats wildcard Let’s Encrypt apr\u00e8s avoir pay\u00e9 12 000\u20ac\/an pour un wildcard commercial multi-niveau. La migration a n\u00e9cessit\u00e9 3 jours de d\u00e9veloppement pour int\u00e9grer l’API DNS d’OVH avec acme.sh. \u00c9conomie annuelle : 12 000\u20ac, avec un niveau de s\u00e9curit\u00e9 cryptographique identique et une automatisation des renouvellements d\u00e9sormais int\u00e9gr\u00e9e au pipeline CI\/CD.<\/p>\n\n\n\n
5. Amazon et Netflix : DV par choix technique d\u00e9lib\u00e9r\u00e9.<\/strong> Amazon (pour AWS CloudFront) et Netflix utilisent des certificats DV sur leur infrastructure publique. Netflix a en outre d\u00e9velopp\u00e9 Lemur, un outil open source de gestion de PKI interne, pour \u00e9mettre des certificats \u00e0 tr\u00e8s courte dur\u00e9e de vie (quelques heures) pour les communications entre microservices. Ce choix illustre que m\u00eame les entreprises disposant de budgets illimit\u00e9s pr\u00e9f\u00e8rent l’automatisation et les cycles courts aux certificats EV co\u00fbteux.<\/p>\n\n\n\n
Ce que disent les experts en s\u00e9curit\u00e9<\/h2>\n\n\n\n
Scott Helme, chercheur en s\u00e9curit\u00e9 web et fondateur de Report URI,<\/strong> est l’une des voix les plus influentes sur le sujet. Sa position, exprim\u00e9e dans plusieurs conf\u00e9rences et articles de blog depuis 2018 : “Le certificat EV n’a plus aucune utilit\u00e9 pratique depuis que les navigateurs ont supprim\u00e9 l’indicateur visuel. Payer pour un EV en 2026, c’est payer pour une \u00e9tiquette que personne ne voit.” Helme plaide pour que les ressources consacr\u00e9es aux certificats EV soient r\u00e9allou\u00e9es \u00e0 des mesures r\u00e9ellement efficaces : Content Security Policy, HSTS preloading et surveillance Certificate Transparency.<\/p>\n\n\n\n
Fireship<\/strong>, la cha\u00eene YouTube de r\u00e9f\u00e9rence pour les d\u00e9veloppeurs avec plus de 3 millions d’abonn\u00e9s, a consacr\u00e9 plusieurs vid\u00e9os \u00e0 Let’s Encrypt et \u00e0 l’automatisation TLS. Sa position, repr\u00e9sentative de la communaut\u00e9 dev en 2026 : “Si tu paies pour un certificat DV en 2026, tu jettes de l’argent par la fen\u00eatre. Certbot plus Let’s Encrypt en 5 minutes, c’est tout ce qu’il te faut pour 99% des projets.” Cette opinion, partag\u00e9e massivement par les d\u00e9veloppeurs ind\u00e9pendants et les startups, explique en partie la croissance continue de Let’s Encrypt malgr\u00e9 l’absence de marketing commercial.<\/p>\n\n\n\n
ThePrimeagen<\/strong>, d\u00e9veloppeur et cr\u00e9ateur de contenu technique suivi par plus d’un million d’abonn\u00e9s sur YouTube, nuance le d\u00e9bat en insistant sur le contexte entreprise : “La question n’est pas ‘gratuit ou payant’, c’est ‘est-ce que votre processus de renouvellement est automatis\u00e9 et surveill\u00e9’. Un certificat payant qui expire pendant vos vacances co\u00fbte bien plus cher que sa valeur faciale en temps de crise et d’astreinte.” Il recommande de toujours configurer une alerte d’expiration \u00e0 30 jours, quelle que soit la source du certificat.<\/p>\n\n\n\n
Du c\u00f4t\u00e9 institutionnel, l’ANSSI (Agence nationale de la s\u00e9curit\u00e9 des syst\u00e8mes d’information)<\/strong> ne prescrit pas de source particuli\u00e8re pour les certificats TLS dans ses guides techniques. Elle insiste sur la conformit\u00e9 aux recommandations du CA\/Browser Forum, l’activation de TLS 1.3, la mise en place de Certificate Transparency Monitoring et la planification de la transition post-quantique avant 2030. L’ANSSI mentionne explicitement que la dur\u00e9e de validit\u00e9 courte des certificats est un facteur positif pour la s\u00e9curit\u00e9, alignant ses recommandations avec le mod\u00e8le Let’s Encrypt.<\/p>\n\n\n\n
Incidents et fiabilit\u00e9 : bilan comparatif des autorit\u00e9s de certification<\/h2>\n\n\n\n
Aucune autorit\u00e9 de certification n’est \u00e0 l’abri des incidents. Le bilan comparatif r\u00e9v\u00e8le des modes de d\u00e9faillance diff\u00e9rents et des capacit\u00e9s de r\u00e9ponse variables.<\/p>\n\n\n\n
Let’s Encrypt a subi un incident majeur en mars 2020 : un bug dans la v\u00e9rification des enregistrements CAA (Certification Authority Authorization) a affect\u00e9 environ 3 millions de certificats<\/strong>. L’ISRG a r\u00e9voqu\u00e9 les certificats concern\u00e9s dans les 24 heures. La dur\u00e9e de vie courte de 90 jours a limit\u00e9 l’exposition r\u00e9siduelle : les certificats affect\u00e9s non remplac\u00e9s imm\u00e9diatement ont expir\u00e9 naturellement en quelques semaines. Aucun domaine n’a vu sa communication intercept\u00e9e \u00e0 cause de cet incident. La rapidit\u00e9 et la transparence de la r\u00e9ponse ont \u00e9t\u00e9 salu\u00e9es par la communaut\u00e9 de s\u00e9curit\u00e9.<\/p>\n\n\n\n
Du c\u00f4t\u00e9 des autorit\u00e9s payantes, DigiCert a subi en 2024 un incident de validation affectant 83 000 certificats<\/strong>, qui avaient \u00e9t\u00e9 \u00e9mis avec des v\u00e9rifications incorrectes pendant cinq ans. Les clients ont d\u00fb remplacer leurs certificats dans un d\u00e9lai de 24 heures, avec l’aide des \u00e9quipes support de DigiCert. La garantie financi\u00e8re et le SLA contractuel ont couvert les frais de remplacement d’urgence pour les clients concern\u00e9s. Cet incident illustre que les CAs payantes ne sont pas immunis\u00e9es contre les bugs de validation syst\u00e9miques.<\/p>\n\n\n\n
La conclusion pragmatique : les incidents touchent toutes les autorit\u00e9s de certification, gratuites ou payantes. La diff\u00e9rence r\u00e9side dans la r\u00e9ponse. Let’s Encrypt s’appuie sur la rotation rapide et l’automatisation pour minimiser l’exposition. Les CAs payantes s’appuient sur le support contractuel et les garanties financi\u00e8res pour indemniser les clients impact\u00e9s. Pour les syst\u00e8mes critiques qui tol\u00e8rent mal les interruptions d’urgence, une combinaison des deux peut \u00eatre judicieuse : Let’s Encrypt pour l’automatisation quotidienne, un CA payant avec SLA pour les certificats OV qui n\u00e9cessitent une validation manuelle document\u00e9e.<\/p>\n\n\n\n
Guide de migration : passer au certificat SSL gratuit en 4 \u00e9tapes<\/h2>\n\n\n\n
Si vous payez actuellement pour des certificats DV que vous pourriez remplacer par Let’s Encrypt, voici un guide de migration structur\u00e9 pour un serveur Nginx sous Linux. Ce guide suppose un acc\u00e8s root et un serveur accessible depuis internet sur les ports 80 et 443.<\/p>\n\n\n\n
\u00c9tape 1 : inventorier les certificats actuels.<\/strong> Listez tous vos domaines actifs, leurs dates d’expiration et leurs autorit\u00e9s de certification. Identifiez ceux qui sont en DV (candidats \u00e0 la migration) vs OV\/EV (\u00e0 conserver si n\u00e9cessaire).<\/p>\n\n\n\n
# V\u00e9rifier l'expiration et le CA d'un certificat existant\nopenssl s_client -connect example.com:443 -servername example.com 2>\/dev\/null \\\n  | openssl x509 -noout -dates -issuer\n\n# R\u00e9sultat exemple :\n# notBefore=Jan  1 00:00:00 2026 GMT\n# notAfter=Jun 30 23:59:59 2026 GMT\n# issuer=C=US, O=DigiCert Inc, CN=DigiCert TLS RSA SHA256 2020 CA1<\/code><\/pre>\n\n\n\n
\u00c9tape 2 : installer Certbot et obtenir le certificat de remplacement.<\/strong> Installez Certbot via apt, puis demandez le certificat pour votre domaine. L’option –nginx g\u00e8re automatiquement la modification de la configuration du serveur.<\/p>\n\n\n\n
# Installation Certbot (Ubuntu 22.04 \/ 24.04)\nsudo apt update && sudo apt install certbot python3-certbot-nginx -y\n\n# Obtenir le certificat (Certbot modifie nginx.conf automatiquement)\nsudo certbot --nginx -d example.com -d www.example.com\n\n# Certificats g\u00e9n\u00e9r\u00e9s dans :\n# \/etc\/letsencrypt\/live\/example.com\/fullchain.pem  (certificat + cha\u00eene)\n# \/etc\/letsencrypt\/live\/example.com\/privkey.pem   (cl\u00e9 priv\u00e9e)<\/code><\/pre>\n\n\n\n
\u00c9tape 3 : tester la configuration.<\/strong> Avant de basculer d\u00e9finitivement, testez le nouveau certificat sur SSL Labs (ssllabs.com\/ssltest) pour confirmer la cha\u00eene de confiance, le grade TLS et l’absence d’erreurs. Visez un grade A ou A+.<\/p>\n\n\n\n
\u00c9tape 4 : automatiser le renouvellement et configurer les alertes.<\/strong> Certbot configure automatiquement un timer systemd ou une t\u00e2che cron pour les renouvellements. Ajoutez une alerte en cas d’\u00e9chec.<\/p>\n\n\n\n
# Tester le renouvellement automatique (simulation)\nsudo certbot renew --dry-run\n\n# V\u00e9rifier le timer systemd (Ubuntu)\nsudo systemctl status certbot.timer\n# Devrait afficher : active (waiting)\n\n# Configurer une alerte email en cas d'\u00e9chec de renouvellement\n# Ajouter dans \/etc\/cron.d\/certbot :\n# 0 *\/12 * * * root certbot renew --quiet 2>&1 | mail -s \"Certbot error\" admin@example.com<\/code><\/pre>\n\n\n\n
Points de vigilance lors de la migration :<\/strong> assurez-vous que le port 80 est ouvert pour la validation HTTP-01 (Let’s Encrypt doit pouvoir acc\u00e9der \u00e0 http:\/\/votre-domaine\/.well-known\/acme-challenge\/). Si votre h\u00e9bergeur bloque ce port, passez \u00e0 la validation DNS-01. Notez que les anciens certificats payants peuvent \u00eatre laiss\u00e9s expirer naturellement apr\u00e8s la migration, sans r\u00e9vocation n\u00e9cessaire.<\/p>\n\n\n\n
Pour quel usage choisir quel certificat SSL en 2026 ?<\/h2>\n\n\n\n
Voici les recommandations bas\u00e9es sur le type de projet, avec des crit\u00e8res d\u00e9cisionnels clairs.<\/p>\n\n\n\n
Choisissez Let’s Encrypt si :<\/strong> vous g\u00e9rez un blog, un portfolio, une application web, une API SaaS ou un site e-commerce standard. Vous disposez d’un acc\u00e8s root ou admin sur votre serveur. Vous pouvez automatiser le renouvellement (ou utiliser un h\u00e9bergeur qui le fait pour vous). Vous voulez des certificats wildcard sans co\u00fbt. Vous d\u00e9ployez sur des plateformes cloud modernes (Kubernetes, Docker Swarm, fonctions serverless). 90% des projets web rentrent dans cette cat\u00e9gorie.<\/p>\n\n\n\n
Choisissez un DV payant si :<\/strong> votre infrastructure bloque les connexions vers l’API Let’s Encrypt, si votre h\u00e9bergeur n’int\u00e8gre pas ACME (certains h\u00e9bergeurs mutualis\u00e9s ancienne g\u00e9n\u00e9ration sans acc\u00e8s shell), ou si la limite de 5 certificats\/domaine\/semaine de Let’s Encrypt est atteinte en raison de d\u00e9ploiements automatis\u00e9s tr\u00e8s fr\u00e9quents.<\/p>\n\n\n\n
Choisissez un OV payant si :<\/strong> votre politique de s\u00e9curit\u00e9 interne ou vos obligations r\u00e9glementaires exigent une validation organisationnelle document\u00e9e dans le certificat. C’est typiquement le cas pour les \u00e9tablissements financiers sous contr\u00f4le ACPR, les services publics num\u00e9riques, les collectivit\u00e9s territoriales, et les contrats qui pr\u00e9cisent ce niveau de validation. Dans ce cas, Sectigo et GlobalSign sont les fournisseurs les plus \u00e9conomiques pour des OV de qualit\u00e9 (27\u20ac \u2013 91\u20ac\/an).<\/p>\n\n\n\n
Choisissez un EV payant uniquement si :<\/strong> vous avez une obligation contractuelle sp\u00e9cifique avec un partenaire ou un r\u00e9gulateur qui exige explicitement un certificat EV, et qui s’engage \u00e0 v\u00e9rifier sa pr\u00e9sence. Aucune raison technique ni s\u00e9curitaire ne justifie l’EV en 2026 pour un usage standard. Chrome et Safari n’affichent plus d’indicateur distinctif pour les EV depuis 2018. Les 55\u20ac \u00e0 170\u20ac par an \u00e9conomis\u00e9s financent des mesures bien plus efficaces : audit de code, formation de l’\u00e9quipe aux bonnes pratiques OWASP, ou mise en place d’une surveillance des logs CT.<\/p>\n\n\n\n
FAQ : certificat SSL gratuit vs payant<\/h2>\n\n\n\n
Un certificat SSL Let’s Encrypt est-il aussi s\u00e9curis\u00e9 qu’un certificat payant ?<\/h3>\n\n\n\n
Oui, sur le plan cryptographique. Le chiffrement TLS est identique entre un certificat Let’s Encrypt et un certificat payant. La diff\u00e9rence porte sur la validation d’identit\u00e9 (DV vs OV vs EV), pas sur la force du chiffrement. Un certificat DV payant n’est pas plus s\u00fbr qu’un certificat DV gratuit Let’s Encrypt. Les deux utilisent RSA 2048 bits ou ECDSA P-256, approuv\u00e9s par le NIST.<\/p>\n\n\n\n
Pourquoi Let’s Encrypt \u00e9met-il des certificats de 90 jours seulement ?<\/h3>\n\n\n\n
La dur\u00e9e de 90 jours est un choix d\u00e9lib\u00e9r\u00e9 de l’ISRG. Elle encourage l’automatisation du renouvellement (via ACME) et limite la fen\u00eatre d’exposition en cas de compromission d’une cl\u00e9 priv\u00e9e. Un certificat qui expire dans 45 jours en moyenne repr\u00e9sente un risque bien moindre qu’un certificat valide pendant 6 mois. Depuis f\u00e9vrier 2026, le CA\/Browser Forum a r\u00e9duit la dur\u00e9e maximale autoris\u00e9e pour tous les certificats TLS publics \u00e0 199 jours, signalant que le secteur converge vers des cycles courts.<\/p>\n\n\n\n
Let’s Encrypt peut-il \u00eatre utilis\u00e9 pour un site e-commerce avec paiements ?<\/h3>\n\n\n\n
Oui. Le standard PCI DSS ne prescrit pas de type de certificat sp\u00e9cifique pour la couche TLS. Il exige TLS 1.2 minimum (TLS 1.3 recommand\u00e9) et une gestion correcte des cl\u00e9s priv\u00e9es. Des dizaines de milliers de boutiques e-commerce utilisent Let’s Encrypt avec la conformit\u00e9 PCI DSS. Cloudflare, qui g\u00e8re les transactions de millions de marchands, utilise des certificats DV sur son infrastructure.<\/p>\n\n\n\n
Les certificats EV am\u00e9liorent-ils la confiance des utilisateurs ?<\/h3>\n\n\n\n
Non, depuis 2018. Chrome a supprim\u00e9 l’affichage de l’organisation dans la barre d’adresse pour les EV cette ann\u00e9e-l\u00e0, suivi par Firefox et Safari. Aujourd’hui, moins de 2% des sites utilisent des certificats EV, et les utilisateurs ne voient aucune diff\u00e9rence visuelle entre un EV et un DV. Les \u00e9tudes UX montrent que la barre verte “Extended Validation” n’avait de toute fa\u00e7on qu’un impact marginal sur la confiance des utilisateurs non-experts.<\/p>\n\n\n\n
Peut-on utiliser Let’s Encrypt avec Cloudflare comme proxy ?<\/h3>\n\n\n\n
Oui, avec quelques configurations sp\u00e9cifiques. Cloudflare g\u00e8re le certificat c\u00f4t\u00e9 visiteur (son propre DV) et peut \u00e9tablir une connexion chiffr\u00e9e vers votre serveur d’origine qui utilise un certificat Let’s Encrypt. Pour la validation HTTP-01, votre serveur doit \u00eatre accessible depuis internet sur le port 80, ce qui peut n\u00e9cessiter de d\u00e9sactiver temporairement le proxy Cloudflare lors du renouvellement. La m\u00e9thode DNS-01 (sans acc\u00e8s au port 80) est recommand\u00e9e dans ce contexte.<\/p>\n\n\n\n
Qu’est-ce que la Certificate Transparency et pourquoi est-ce important ?<\/h3>\n\n\n\n
La Certificate Transparency (CT) est un syst\u00e8me de journaux publics o\u00f9 toutes les autorit\u00e9s de certification doivent enregistrer les certificats \u00e9mis. En 2025, environ 3,2 milliards de certificats TLS publics ont \u00e9t\u00e9 enregistr\u00e9s dans ces logs. Ce syst\u00e8me permet \u00e0 quiconque de d\u00e9tecter un certificat frauduleusement \u00e9mis pour son domaine. Des outils comme crt.sh permettent de consulter tous les certificats \u00e9mis pour un domaine donn\u00e9. L’obligation CT s’applique \u00e0 tous les certificats, gratuits ou payants.<\/p>\n\n\n\n
Let’s Encrypt est-il compatible avec les anciens appareils Android ?<\/h3>\n\n\n\n
Depuis 2021, oui. Let’s Encrypt a r\u00e9solu ce probl\u00e8me historique en utilisant son propre certificat racine (ISRG Root X1) directement int\u00e9gr\u00e9 dans les navigateurs et syst\u00e8mes d’exploitation, sans d\u00e9pendre de la cha\u00eene crois\u00e9e avec IdenTrust qui expirait en septembre 2021. La compatibilit\u00e9 est d\u00e9sormais estim\u00e9e \u00e0 99,9% des appareils actifs, y compris Android 7.1 et versions ant\u00e9rieures qui utilisent Firefox ou Chrome \u00e0 jour.<\/p>\n\n\n\n
Quelle est la diff\u00e9rence entre Let’s Encrypt et Cloudflare SSL ?<\/h3>\n\n\n\n
Les deux sont gratuits et \u00e9mettent des certificats DV. La diff\u00e9rence principale r\u00e9side dans l’architecture : Let’s Encrypt vous \u00e9met un certificat que vous installez sur votre serveur et g\u00e9rez vous-m\u00eame. Cloudflare SSL est un certificat g\u00e9r\u00e9 par Cloudflare sur son r\u00e9seau CDN, entre le visiteur et Cloudflare. La connexion entre Cloudflare et votre serveur d’origine peut utiliser un certificat Let’s Encrypt, un certificat Cloudflare Origin Certificate (auto-sign\u00e9 pour usage interne), ou un certificat commercial. Les deux solutions sont valides selon votre architecture r\u00e9seau.<\/p>\n\n\n\n
Couverture connexe<\/h2>\n\n\n\n
Pour approfondir votre ma\u00eetrise de la s\u00e9curit\u00e9 TLS, des certificats SSL et des bonnes pratiques associ\u00e9es :<\/p>\n\n\n\n