Let's Encrypt est une autorité de certification, et ils ont plus ou moins les mêmes privilèges et pouvoirs que toute autre autorité de certification existante (et plus importante) sur le marché.
À partir d'aujourd'hui, le principal inconvénient l'utilisation d'un certificat Let's Encrypt est la compatibilité. C'est un problème auquel toute nouvelle autorité de certification doit faire face lorsqu'elle approche du marché.
Pour qu'un certificat soit approuvé, il doit être signé par un certificat appartenant à une autorité de certification de confiance. Pour être digne de confiance, une autorité de certification doit avoir le certificat de signature intégré dans le navigateur / le système d'exploitation. Une autorité de certification qui entre sur le marché aujourd'hui, en supposant qu'elle soit approuvée par le programme de certificat racine de chaque navigateur / système d'exploitation à partir du jour 0 (ce qui est impossible), sera incluse dans les versions actuelles des différents navigateurs / systèmes d'exploitation. Cependant, ils ne pourront pas être inclus dans les versions plus anciennes (et déjà publiées).
En d'autres termes, si un CA Foo rejoint le programme racine le jour 0 lorsque la version de Google Chrome est 48 et Max OSX est 10.7, le Foo CA ne sera inclus (et approuvé) dans aucune version de Chrome antérieure à 48 ou Mac OSX antérieure à 10.7. Vous ne pouvez pas faire confiance rétroactivement à une autorité de certification.
Pour limiter le problème de compatibilité, Let's Encrypt a fait signer son certificat racine par une autre autorité de certification plus ancienne (IdenTrust). Cela signifie qu'un client qui n'inclut pas de certificat racine LE peut toujours se replier sur IdenTrust et que le certificat sera approuvé ... dans un monde idéal. En fait, il semble qu'il existe différents cas où cela ne se produit pas actuellement (Java, Windows XP, iTunes et autres environnements). C'est donc le principal inconvénient de l'utilisation d'un certificat Let's Encrypt: une compatibilité réduite par rapport à d'autres concurrents plus anciens.
Outre la compatibilité, d'autres inconvénients possibles sont essentiellement liés à la politique d'émission de Let's Encrypt et à leurs décisions commerciales. Comme tout autre service, ils peuvent ne pas offrir certaines fonctionnalités dont vous avez besoin.
Voici quelques différences notables de Let's Encrypt par rapport aux autres CA ( j'ai également écrit un article à leur sujet):
Les points ci-dessus ne sont pas nécessairement des inconvénients. Cependant, ce sont des décisions commerciales qui peuvent ne pas répondre à vos exigences spécifiques, et dans ce cas, elles représenteront des inconvénients par rapport à d'autres alternatives.
† la limite de taux principale est 20 certificats par domaine enregistré par semaine. Cependant, cela ne limite pas le nombre de renouvellements que vous pouvez émettre chaque semaine.