Let’s Encrypt fournir des certificats génériques qui ont pour but de sécuriser n’importe quel nombre de sous-domaines d’un domaine de base. En d’autres termes, avec ces certificats génériques, les administrateurs pourraient utiliser une seule paire de certificat et clé pour un domaine et tous ses sous-domaines.
Selon Broderick Perelli-Harris, Senior Director, Solution Architecture chez Venafi:
« Les autorités de certification (AC) délivrant des certificats gratuits, comme Let’s Encrypt, sont d’ores et déjà utilisées comme vecteurs d’attaque par des individus malveillants qui cherchent à usurper des sites Web, dérober des identités ou tromper des victimes qui ne se doutent de rien en se procurant un « cadenas vert » pour leur site. L’an dernier, par exemple, 14 000 certificats ont été délivrés par Let’s Encrypt rien que pour des sites usurpant l’identité de PayPal, ce qui prouve que les pirates détournent ces certificats gratuits à leur avantage.En proposant des certificats génériques gratuits, Let’s Encrypt décuple les risques, compte tenu du nombre de machines susceptibles d’être authentifiées simultanément. Si un pirate s’empare d’un certificat générique pour un domaine, chacun de ses sous-domaines s’expose alors à être compromis, notamment les formulaires contenant des données névralgiques ou les portails de paiement. Concrètement, à supposer qu’une partie du site d’une entreprise fasse l’objet d’une attaque, recourir à un certificat générique revient à mettre en péril l’intégralité du domaine — autant dire que ce certificat gratuit se paiera extrêmement cher. Il est encourageant d’observer une demande aussi forte en faveur du chiffrement, mais encore faut-il que les entreprises veillent à ce que leurs communications cryptées soient véritablement sécurisées, et des certificats de qualité ne sont pas chers payés en contrepartie de leur tranquillité d’esprit« .