DON'T PANIC.
(Je suis en train de lire "The hitch-hiker's guide to the galaxy" de Douglas Adams, livre que j'ai rapporté de mon séjour à Londres le weekend dernier ; je me régale.)
Le sujet de ce post reprend une communication qui m'a valu de vives réactions pour certaines très sympathiques. Ce commentaire était mal formulé, il fallait lire "La mise à jour automatique des certificats LE est /potentiellement/ un cheval de Troie".
Alors non, les certificats LE ne sont pas dangereux, évidemment !
Je m'en suis d'ailleurs beaucoup servi dès que c'était disponible ou presque (début 2017) mais uniquement sur des blogs WordPress installés tout seuls sur des VPS, c'est à dire pour des informations publiques sans données sensibles et dans un contexte sans importance. De toute façon les mises à jour automatiques de WordPress sont à peine moins fiables :-) Hé, pas taper si vous n'êtes pas d'accord !
A lire mes notes, la mise en œuvre des certificats LE était effectivement super simple sauf qu'il y avait dans le crontab :
32 6 * * 0 /root/certbot-auto renew -q
Apparemment, il n'est plus nécessaire de renouveler le certificat avec root (et peut-être est-ce que cela a toujours été le cas) quoique sinon je ne vois pas comment concilier ça avec la gestion d'un serveur web qui appartiennent à root. Oui, je sais qu'il serait possible de configurer un serveur apache hors root mais ce n'est pas standard, notamment parce que seul root peut accéder aux ports 80 ou 443.
Quoiqu'il en soit, avoir un script obscur qui revoit potentiellement la configuration de mon serveur toutes les semaines, cela ne me plait pas. Je n'ai pas cherché plus loin et j'ai profité des certificats LE pour des contextes sans conséquences. Ce qui ne veut pas dire que l'on ne peut pas utiliser les certificats LE pour des cas autres que ceux où il n'y a pas d'enjeu…
J'ai aussi une préférence et une grande confiance a priori dans les produits du logiciel libre (mais pas parce qu'ils sont "revus"). Je les utilise évidemment le plus possible mais j'ai suffisamment d'expérience en développement logiciel (à peu près 40 ans…) pour savoir à quel point il est plus facile de produire du code malveillant que des traitements fiables et robustes y compris pour les cas limites.
Donc pour le cas de l'alternative entre un certificat d'une dizaine d'euros annuel et l'hébergement d'un processus hebdomadaire et /potentiellement/ faillible, personnellement, le choix est vite fait. D'autant que je n'ai qu'une petite poignée de certificat SSL à gérer. Oui, cela change tout.
Pour ce qui est de chiffrer les échanges avec un serveur web, tous les certificats se valent qu'ils soient auto-signés, wildcards, gratuits ou payants, même très chers. A la base, une clé publique c'est juste le produit de deux nombres premiers si grands que sa factorisation prendrait a priori un temps infini par rapport aux calculs modulo n dans un corps Z/nZ avec n premier qui sont faits pour chiffrer et déchiffrer les échanges… d'une clé symétrique qui sera exploité ensuite. Le recours aux clés asymétriques a simplement déplacé le problème : au lieu d'avoir à assurer le partage confidentiel d'une clé symétrique, il faut s'assurer qu'une clé publique appartient bien à celui qui prétend en être le propriétaire. C'est là où les CA interviennent et l'opportunité d'en faire un racket. Racket soutenu par l'obligation artificielle de tout chiffrer. Pour cela la disponibilité des certificats LE est effectivement une bénédiction !
Car non, en vrai cela ne sert à rien de chiffrer une recette d'Irish coffe partagée sur un blog, à part pour lui éviter d'être totalement ostracisée par ggl. Quant à chiffrer une librairie JS publique, je n'y avais jamais pensé mais je n'en vois pas non plus l'intérêt, d'autant moins que sous couvert de minimisation (mais en vrai pour les protéger d'une réutilisation) la plupart des librairies JS sont quasiment illisibles :-) Par contre conforter l'origine d'une librairie externe par la validation d’authenticité d'un CA est effectivement intéressant mais ce n'est pas le certificat du site qui l'utilise qui le fait.
Ah et sinon, pour répondre à la remarque du petit jeune qui m'a gentiment dit d'arrêter de raconter n'importe quoi sur des sujets que je ne connais manifestement pas, je dirais qu'il a au moins à moitié tort. L'expérience a ceci de particulier qu'il ne me rattrapera jamais pour ce qui est de la durée sur laquelle je l'ai accumulée ; je serai certainement mort avant :-))