Source: Security.NL
Le soir du 8 mai 2026, selon Security.NL, l'autorité de certification Let's Encrypt a temporairement cessé de délivrer de nouveaux certificats SSL/TLS. La pause a duré près de deux heures et demie. La cause était un problème de conformité avec les règles de la politique CCADB, un ensemble de normes que les autorités de certification doivent respecter pour rester approuvées par les principaux navigateurs et systèmes d'exploitation.
Selon Security.NL, les nouvelles autorités de certification racine et les autorités de certification intermédiaires que Let's Encrypt avait générées en septembre de l'année précédente ne respectaient pas les règles de la politique CCADB. Plus précisément, l'extension EKU serverAuth n'aurait apparemment pas été activée sur les autorités de certification concernées.
Lorsque le problème a été découvert, Let's Encrypt a choisi de suspendre entièrement la délivrance de certificats le temps d'appliquer des modifications de configuration pour empêcher les autorités de certification non conformes de délivrer des certificats. Après près de deux heures et demie, la délivrance a repris. Aucune autorité de régulation ni aucun organisme de protection des données, y compris la CNIL, n'est signalé comme ayant été impliqué dans l'incident.
Let's Encrypt est une autorité de certification largement utilisée qui fournit les certificats SSL gratuits dont de nombreux sites web de petites entreprises dépendent pour chiffrer la connexion entre leur site et leurs visiteurs. Lorsqu'une autorité de certification suspend ses opérations, même brièvement, les sites web qui ont besoin d'un certificat nouveau ou renouvelé pendant cette période peuvent ne pas être en mesure d'en obtenir un.
Cette interruption particulière a été résolue relativement rapidement, selon Security.NL. Elle rappelle néanmoins utilement que le renouvellement automatique des certificats peut échouer pour des raisons indépendantes de votre volonté, et qu'un certificat expiré ou manquant amènera les navigateurs à afficher un avertissement de sécurité à vos visiteurs.
Si vous n'êtes pas certain que le certificat de votre site web est configuré pour se renouveler automatiquement, ou s'il est actuellement valide, il vaut la peine de le vérifier. Notre liste de contrôle de sécurité pour les petites entreprises vous guide à travers les étapes, et notre guide sur les plugins WordPress vulnérables couvre les bases de sécurité connexes qu'il vaut également la peine de consulter.
Si votre site web utilise un certificat Let's Encrypt gratuit, de courtes interruptions chez l'autorité de certification peuvent retarder le renouvellement automatique, ce qui peut amener votre site à afficher un avertissement de sécurité aux visiteurs si le moment est mal choisi. Il est utile de savoir quand votre certificat actuel expire et de disposer d'un processus permettant de détecter rapidement les échecs de renouvellement. Vérifier régulièrement votre statut SSL, par exemple via un simple scan automatisé, est une mesure concrète que tout propriétaire de petite entreprise peut prendre.
Scan gratuit couvrant le RGPD, le droit d'auteur, l'accessibilité, la sécurité et plus encore.
Lancer le check gratuitSelon Security.NL, une nouvelle vulnérabilité de sécurité a été découverte dans cPanel et WHM, deux outils largement utilisés pour gérer des comptes d'hébergement web et des serveurs. La vulnérabilité
Le Centre National de Cybersécurité du Royaume-Uni (NCSC) aurait mis en garde les organisations et les utilisateurs contre une vague sans précédent de vulnérabilités, alimentée par des outils d'intell
Une page d'avis publiée par le NCSC-NL, le Centre national néerlandais pour la cybersécurité, a récemment été consultée mais n'a renvoyé qu'une notice de redirection sans aucun contenu substantiel. La