Thousands of people around the world make our work possible. Donate today.

lencr.org

Dernière mise à jour : | Voir toute la documentation

Qu’est-ce que lencr.org ?

lencr.org est un nom de domaine appartenant à Let’s Encrypt. Nous l’utilisons pour héberger les données qui sont référencées dans les certificats que nous émettons.

Pourquoi mon ordinateur récupère-t-il ces données ? Est-ce malveillant ?

Non, les données sur lencr.org ne sont jamais malveillantes. Lorsqu’un appareil se connecte à lencr.org, c’est parce qu’un logiciel client sur cet appareil (comme un navigateur web ou une application) s’est connecté à un autre site, a vu un certificat Let’s Encrypt et essaie de vérifier qu’il est valide. Il s’agit d’une pratique courante pour de nombreux clients.

Nous ne pouvons pas dire si l’autre site auquel on se connecte est malveillant. Si vous investiguez une activité réseau qui semble inhabituelle, vous pouvez vous concentrer sur la connexion qui a démarré juste avant la connexion à lencr.org.

Le schéma des connexions des clients à lencr.org peut sembler inhabituel ou intermittent. Les clients peuvent ne jamais récupérer ces données, ne récupérer que des sous-ensembles ou “mettre en cache” certaines données par souci d’efficacité, de sorte qu’ils n’y accèdent qu’occasionnellement (la première fois qu’ils en ont besoin et lorsque les données ont expiré).

À quoi servent exactement ces données ?

Lorsqu’un logiciel client (comme un navigateur web ou une application) se connecte à un site et que ce site présente un certificat, le client doit vérifier que le certificat est authentique et valide. Ces données aident les clients à atteindre cet objectif de plusieurs manières.

Pourquoi les connexions à o.lencr.org se font-elles via un protocole HTTP non sécurisé ?

Les réponses OCSP sont toujours envoyées par HTTP. S’ils étaient servis par HTTPS, il y aurait un problème de “boucle infinie” : pour vérifier le certificat du serveur OCSP, le client devrait utiliser OCSP.

La réponse OCSP elle-même est horodatée et signée cryptographiquement. les propriétés anti-fraude de TLS ne sont pas nécessaires dans ce cas.

Pourquoi “lencr.org” ?

Nous avions l’habitude d’utiliser des URL plus longues comme http://ocsp.int-x3.letsencrypt.org/. Cependant, lorsque nous avons émis nos nouveaux certificats racine et intermédiaires, nous avons voulu les rendre aussi courtes que possible. Chaque connexion HTTPS sur le Web (des milliards par jour) doit envoyer une copie d’un certificat, donc chaque octet compte. Nous avons choisi lencr.org en raison de sa similitude avec notre nom : Let ENCRypt. Nous le prononçons un peu comme la région fictive de Lancre dans les romans de Terry Pratchett. Discworld de Terry Pratchett.