Bonjour
Peut-être que LetsEncrypt est la voie que tout le monde doit pendre ? Mais du coup comment achete-t-on des certificats pour la validation d'organisation ou la validation étendue ?
Pouvez vous me donner votre avis et votre positionnement sur ce sujet ?
Pourquoi vouloir des certificats EV ou OV ? Pour avoir le nom de sa boite dans la barre d'adresse ? Je doute que cela fasse une grande différence pour le end-user.
Il serait nettement préférable de passer chaque déploiement dans ssllabs pour s'assurer que plus rien ne traîne en SSL2/3 ou TLSv1 et de régler une bonne fois pour toute les millions de sites en mixed content. Sans compter les security headers qu'on aimerait bien voir un jour correctement mis pour éviter les XSS et autres injections, à commencer par le HSTS.
Et si on veux 'faire les choses bien' et offrir de vraies garanties de sécurité (attention, je n'ai pas dit que c'était suffisant), on peut pousser jusqu'à HPKP.
Si on rajoute à ça que let's encrypt fournira des wildcard dans quelques jours [1], je vois mal quel intérêt ont encore les autorités commerciales.
Petite note : avec DNSSEC et DANE, on pourra, un jour, mettre directement la clé publique dans le DNS. En fait, on peut déjà, c'est juste que les browsers ne le supportent pas.
C’était supporté par par DANE/TLSA Validator jusqu'a ce que Ferefox 57… donc globalement à part pour les 5 gus qui ont encore Firefox 52 ESR, c'est effectivement pas supporté coté navigateur. Mais ça pourrait se dire que ça pourrait se résoudre rapidement (1)…
Sauf que le gros problème, c'est que DANE ne sert à rien si le résolveur DNS qui fait DNSSEC n'est pas au plus prêt des users. C'est à dire la machine qui fait la résolution DNS et qui donne la clé, est la même que celle que demande la résolution et la clé (comprendre sans réseau externe entre). Sinon on s'expose au MITM (cf le cas de Bouygues Telecom en 3G/4G sur ses forfaits BandYou). Auquel cas le MITM pourra juste être détecté mais pas empêché : On pourra toujours mettre un résolveur DNS menteur, intercepter et détourner les requêtes pour les adresser audit DNS menteur et répondre ce qu'on veut (éventuellement en cassant la vérification DNSSEC et donc DANE).
Autant dire que c'est pas utilisable par une extrême majorité des utilisateurs, qui utilisent des résolveur DNS distants (soit ceux du FAI sot ceux de google).
Et la seule alternative (moins bien) qui pourrait quand même dépanner si on ne peur pas avoir un résolveur DNS local à sa machine (device mobile, filtrage réseau qui empercherait le résolveur de fonctionner) est toute aussi contraignante sur certains réseaux : Un lien VPN chiffré entre sa machine locale et son résolveur DNS, hébergé sur le serveur VPN (sur une machine de confiance, dans un réseau de confiance).
L'idée de départ de DANE est bonne. Mais sa dépendance au DNS que la plupart des gens délèguent au FAI, et les verrous des appareil mobiles font que c'est difficilement utilisable en pratique, sauf à pouvoir respecter la contrainte « résolveur local », qui exclut directement les users finaux et les devices mobiles, et tous les gens derrière des réseaux très filtrés
1. Enfin, ce serait vrai seulement si les devs des navigateurs passaient plus de temps à améliorer la sécurité qu'à rajouter des mécanismes de tracking pour faire des graphiques sur les sites les plus visités par leurs users, à présenter à leurs hiérarchie…
Julien
1 : https://letsencrypt.org/2017/07/06/wildcard-certificates-coming-jan-2018.htm... _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/