IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

L'EFF et Mozilla lancent une nouvelle autorité de certification pour chiffrer le Web
« Let's Encrypt » délivrera gratuitement des certificats TLS/SSL

Le , par Hinault Romaric
54 commentaires

151PARTAGES

12  0 
Le protocole HTTPS (HyperText Transfer Protocol Secure) offre une meilleure sécurité des informations transmises sur le Web grâce au chiffrement des données. Si les sites de gestion de transactions financières, les réseaux sociaux ou encore les messageries électroniques utilisent largement le protocole, son adoption sur le Web tarde à se généraliser.

De nombreux sites Web utilisent encore HTTP, qui laisse les internautes vulnérables à beaucoup d'attaques, notamment le détournement de leur compte, le vol de leur identité, les injections de scripts malveillants ou encore l’espionnage des gouvernements.

Les éditeurs de sites Web font face à de nombreuses difficultés dans l’adoption de HTTPS. Les principales difficultés seraient, selon l’EFF (Electronic Frontier Foundation), liées à la complexité administrative de la souscription au protocole et au coût que requièrent des certificats HTTPS.

« Le protocole HTTPS dépend d’une administration horriblement complexe et souvent structurellement dysfonctionnelle pour l’authentification », s’insurge l’organisme de protection de la vie privée des internautes. « La procédure administrative pour obtenir, gérer et installer des certificats est la principale raison qui pousse les sites Web à rester sur HTTP au lieu de migrer vers HTTPS. »

Pour pallier à ces obstacles, l’EFF en collaboration avec la fondation Mozilla, Cisco, Akamai, IdenTrust et des chercheurs de l’université du Michigan, lance le projet « Let’s Encrypt ».


Le but de cette initiative est d’accélérer l’adoption du protocole HTTPS. « Let’s Encrypt » est une nouvelle autorité de certification qui fournira gratuitement des certificats SSL/TLS aux sites Web. L’organisme sera opérationnel à partir du deuxième trimestre de l’année prochaine et sera géré par l’Internet Security Research Group (ISRG), une nouvelle organisation à but non lucratif.

En plus de fournir gratuitement des certificats, « Let’s Encrypt » automatisera également le processus de délivrance des certificats, de configuration et de renouvèlement, afin d’encourager une adoption généralisée de TLS.

Ainsi, l’opération de configuration d’un certificat sur un site Web, qui pouvait prendre jusqu’à trois heures de temps, se fera désormais en quelques secondes. Un nouveau protocole baptisé ACME (Automated Certificate Management Environment) et développé par ces entreprises sera utilisé entre les serveurs Web et l’autorité de certification pour valider le nom de domaine avant de générer et d'installer automatiquement un certificat.

Tous les outils qui ont été développés autour de ce projet seront publiés dans une licence open source.

Source : EFF

Et vous ?

Qu'en pensez-vous ? Belle initiative pour un Web sécurisé ?

Une erreur dans cette actualité ? Signalez-nous-la !

54 commentaires
Commenter Signaler un problème
RyzenOC
Avatar de RyzenOC
Inactif https://www.developpez.com
Le 19/11/2014 à 19:43
C'est vrai que c'est horrible à mettre en place... là ça a l'air ULTRA simple. Je veux !!
Surtout que c'est cher aussi !, 50€/ans !!!!

Pour des sites persos (dans mon cas) on veut faire un site web, pas cher et sans pub.

J'heberge mon site chez moi sur un raspberry, le nom de domaine c'est déjà 8€/ans, + 8€ le courant/ans +50€ le raspberry.

Mais c'est clair que j’achèterais jamais de certificat >10€
Quand a son propre certificat, les navigateurs gueulent comme si ce site était un site illégale, et c'est compliquer/chiant a installer.

Donc http pour moi, j'espere que ce projet aboutira, car il est une réel opportunité pour moi.

C'est d’ailleurs l'objectif d'internet, la décentralisation plutôt que de tout hébergée chez OVH (je parle des petits sites)

Avec la fibre optique, les micro ordinateurs peu gourmand et pas cher, il manque plus que le https gratuit, et on pourra enfin devenir indépendant.
3  0 
Farnsworse
Avatar de Farnsworse
Futur Membre du Club https://www.developpez.com
Le 19/11/2014 à 21:51
Ce que je trouve choquant, c'est qu'on vient flinguer le principe de base du certificat: c'est à dire l'authentification des agents. La plupart des gens pensent qu'on délivre des certificats comme ça, simplement parce que t'as allongé le chèque auprès du CA. Non, le but du CA c'est de se porter garant de l'identité du détenteur du certificat. Là en gros, Mozilla veut permettre à n'importe qui, à travers un service quasi automatisé, d'obtenir des certificats dont l'authenticité semble très contestable. Certains experts pourront dire qu'il existe les certificats EV, le problème est que Madame Michu et Monsieur Duchmol ne remarqueront rien, pourvu qu'il y ait un cadenas dans la barre d'URL lorsqu'ils consultent leur banque en ligne.
3  0 
benjani13
Avatar de benjani13
Membre extrêmement actif https://www.developpez.com
Le 21/11/2014 à 14:00
Citation Envoyé par Farnsworse Voir le message
Ok, voyons-voir:
  • Je me paie un nom de domaine du style faceboook.com avec le certificat qui va bien et signé par ce CA vu qu'aucun contrôle ne sera effectué.
  • J’héberge un site passerelle qui, vous l'aurez deviné, est un vulgaire piège de phishing.
  • Je balance quelques emails avec un message provoquant la panique chez ma cible et un lien maquillé vers mon piège.
  • L'utilisateur en confiance, vu que HTTP est encapsulé dans TLS sur ce site, se connecte et... Oh bon sang, j'ai le mot de passe en clair!
  • Fin du spectacle, baisse du rideau, applaudissements.

Bref, ça ne sert à rien de chiffrer si on n'est pas certain de l'identité de son interlocuteur.

Et sinon, SSH et TLS ne sont pas comparables tant sur le fond que la forme j'en ai bien peur.
SSL/TLS n'a jamais garantie que ton interlocuteur ne fera pas n'importe quoi avec les données que tu lui envoie.

Pour reprendre ton exemple, facebook a un certificat SSL, ça l'empêche pas de revendre tes données.

SSL/TLS te garantie qu'aucune autre personne que ton interlocuteur ne pourra lire les données transmises.
3  0 
abel.cain
Avatar de abel.cain
Inactif https://www.developpez.com
Le 22/11/2014 à 18:06
Citation Envoyé par rt15 Voir le message
Les pirates pourront envoyer des mails avec des liens vers des sites avec un cadenas sans warning du navigateur sur l'identité du site.
Exact.

Citation Envoyé par rt15 Voir le message
Le cadenas est considéré par beaucoup comme un gage de sûreté
Alors il faut leur expliquer à quoi sert à un cadenas, ce qu'est une session sécurisée, etc. Ce n'est pas bien compliqué.

Il suffit de ré-informer les gens. Les gens ne sont pas stupides (pour la plupart), juste mal informés.

Citation Envoyé par rt15 Voir le message
(Certaines banques entre autres ont communiqué sur le cadenas)
Certaines banques (la plupart?) disent et font n'importe quoi.

En plus elle déconseillent (ou interdisent explicitement) le plus efficace moyen d'éviter dans tous les cas le phishing : enregistrer le mdp dans le navigateur.

Citation Envoyé par rt15 Voir le message
et l'utilisateur risque donc de encore moins contrôler l'URL.
Parce que tu crois qu'un utilisateur incompétent (au point de gober les inepties sur le cadenas-qui-garantit-qu'il-n'y-a-pas-de-risque) a une chance de faire la différence entre le bon domaine et un nom de domaine vaguement similaire?

ma-banque.fr
mabanque-secure-login.fr
mabanque.ru
mabanque-secure-login.ru
mabanque.secure-banking.ru
mabanque.secure.banking-service.ru

etc.

Beaucoup de messages de phishing sont consternants de bêtise.

Votre bank SFR veu vous remboursé de l'argen mai elle a besoin de votre numero de compte banquère.

Si les gens se font prendre malgré les indices flagrants, ce n'est pas la distinction HTTP/S qui va faire une différence!
3  0 
earhater
Avatar de earhater
Membre éprouvé https://www.developpez.com
Le 19/11/2014 à 17:26
Pensez à regarder cette vidéo de démonstration de l'EFF, elle montre les capacités de l'outil :

2  0 
PatteDePoule
Avatar de PatteDePoule
Membre éclairé https://www.developpez.com
Le 19/11/2014 à 20:06
Citation Envoyé par sazearte Voir le message
Surtout que c'est cher aussi !, 50€/ans !!!!
Mon hébergeur a un partenariat avec AlphaSSL et c'est seulement 30$ le certificat. Les prix diffères d'un vendeur à l'autre, mais je crois que la moyenne est bien 80$ (50€?) par années et 180$ pour un Wildcard (*.mondomaine.com).
2  0 
abel.cain
Avatar de abel.cain
Inactif https://www.developpez.com
Le 22/11/2014 à 14:21
Citation Envoyé par Saverok Voir le message
Tu ne fais jamais de faute de frappe ?
Tu ne lis jamais de travers ?
Tu contrôles tout et tout le temps ?
Tu n'as jamais la tête dans le cul ?
Moi oui, mes logiciels plus rarement!

Si j'utilise un signet (bookmark) ou l'historique pour aller directement sur https://mabanque ou https://monfai je sais que je suis sur le bon site, parce qu'il n'y pas la place pour une faute de frappe.

Et ensuite j'enregistre mes mots de passe, donc le navigateur les remplit pour moi. Donc je ne peux pas être victime d'un autre site.

Si je reçois un courriel non demandé, et que je clique sur un lien sans vérifier, et que je fais confiance au site sans vérifier, là par contre...

Sur Firefox et Google Chrome tu peux voir dans les infos du site si tu as régulièrement visité le site, c'est une bonne indication en cas de doute. Bref il n'est pas très difficile d'éviter ce genre d'arnaque.
2  0 
p5yk0
Avatar de p5yk0
Futur Membre du Club https://www.developpez.com
Le 23/10/2015 à 15:37
Citation Envoyé par rt15 Voir le message

Tous les pirates vont se jetter dessus.

Avoir un web encrypté -> sécurité.
Pouvoir créer des certificats de confiance gratuitement et presque sans vérification -> insécurité.

Ce serait peut être pas mal que les navigateurs affichent deux niveaux de sécurité.
1/ Encryption + certificat auto signé/Let's encrypt/autre fournisseur non regardant.
2/ Encryption + certificat par une autorité de confiance, qui fait payer ses certificats et qui vérifie les demandes minucieusement.
Il n'y a rien de nouveau avec letsencrypt à part l'automatisation.

Et dire que ça revient à de l'auto signé , c'est un peu abusé...
Letsencrypt utilise le protocole ACME pour vérifier que vous êtes bien le propriétaire du domaine , ce n'est pas différent des certificats gratuit de Class 1 que peut délivrer par exemple StartSSL.

Après c'est vrai qu'un certificat de Class1 est loin d’être aussi sécurisant qu'un certificats EV alors que les 2 afficheront le cadenas vert.
Les éditeurs de navigateurs devraient clairement revoir l'affichage des niveaux de certification d'un site web.
2  0 
deglingo592003
Avatar de deglingo592003
Membre régulier https://www.developpez.com
Le 02/11/2015 à 23:22
Bonjour,

Je reprend cette discussion un peu tard. Je vais essayer d'apporter un peu d'informations sur le sujet à propos du SSL.

En fait ce qu'il faut comprendre, c'est que pour la majorité des gens, SSL = cadenas = sécurisé mais il faut voir bien plus loin que ça.

Le certificat SSL a deux fonctions, la première que vous citez tous, c'est le chiffrement des données entre le client (navigateur) et le serveur pour éviter que celles-ci soient interceptées par une personne mal intentionnée.
Sur ce point, vous pouvez être d'accord, presque tous les certificats SSL se valent (à condition d'utiliser des tailles de clés et des algorithme de hash qui ne sont pas encore vulnérables).

Pour cela, la démocratisation des certificats restent une très bonne chose si cela permet de sensibiliser les néophytes sur l'utilisation du HTTPS et des certificats.

Il m'est arrivé plus d'une fois qu'un un amis me demande "tiens au fait, là depuis un mois je vais sur facebook mais il m'affiche toujours cette erreur de certificat, j'ai beau accepter, ça reviens toujours".

Oui, malgré le fait que le navigateur l'avertisse qu'il accède à un site non sécurisé, la possibilité d'usurpation, ect... ça ne l'a pas empêché d'accepter l'exception et de se connecter par identifiant/mot de passe sur son compte facebook (heureusement pour lui, juste un problème d'horloge et de mauvaise date qui rendait donc le certificat non valide). Ceci n'est qu'un cas parmi tant d'autres. Cela montre que les utilisateurs non sensibilisés, n'ont pas consciences des risques et des "dangers" qui pullulent sur le net.

La seconde fonction du certificat, c'est aussi d'apporter des informations sur le propriétaire du domaine. C'est sur cette deuxième fonction, je trouve que les navigateurs (où tous les magasins de certificats de confiance) tendent trop vers la simplicité.
Aujourd’hui il existe de nombreuses autorités de certifications (AC), qui délivrent différents types de certificats avec des fonctions de vérifications manuelles/automatique qui permettent d'apporter un degré plus ou moins élevé de confiance aux certificats que ces AC délivrent.

Sans rentrer dans les détails vous pouvez retrouver les niveaux suivants pour les certificats SSL Serveur (du plus light au plus "confiant" :
- Certificat délivré sans aucune vérification (certificat à la volé)
- Certificat délivré en vérifiant que vous avez accès au domaine (certificat DV : Domain validated; on vérifie que vous avez le "pouvoir" de placer un fichier sur votre serveur web)
- Certificat délivré en vérifiant le propriétaire du domaine (certificat OV : Organization validated; on vérifie que la personne physique/morale qui demande le certificat est bien le propriétaire du domaine. Cela passe par exemple par la fourniture de document d'identité, document d'inscription au registre du commerce et des société, ect ...)
- Certificat délivré en vérifiant encore plus le propriétaire du domaine (Certificat EV : Extended validation; OV + vérification de l'adresse physique, du ou des numéros de téléphone entre autre).

Aujourd’hui, à part les certificat EV, la fameuse "barre verte", rien ne permet de distinguer les autres types de certificats entre eux, et pourtant un certificat OV apporte plus de confiance pour l'internaute qu'un simple certificat à la volé ou DV.

je pense que c'est sur ce point que les acteurs du marché devraient travailler, c'est à dire pouvoir informer l'internaute du degré de fiabilité qu'il devrait accorder aux sites qu'il visite. Cela permettra alors de vraiment s'assurer que le web devienne un espace de confiance.

Pour aider nos chère navigateurs à faire cela, il y a déjà quelques briques de posées. Reprenons l'exemple des autorités de certification.

Pour être intégré dans un magasin de certificat, une autorité de certification doit en général montrer "patte blanche" et doit pouvoir attester que les certificats qu'elle délivre sont soumis à un certain nombre de contrôles (permettant d'éviter par exemple que n'importe qui puisse demander à intégrer son propre certificat comme certificat de confiance).

De cette manière, l'autorité de certification est automatiquement reconnue comme organisme de confiance, le navigateur peut donc de manière transparente lui faire confiance et se dire que les certificats qu'elle délivre sont valides et que l'internaute peut à son tour leur faire confiance (donc tout cela sous entend que l'internaute fait aussi confiance au navigateur qu'il utilise ).

Pour aider tout ce petit monde à se faire confiance, un ensemble de règle à respecter on été définies. Ces règles sont établie sous forme de normes.

En France, nous disposons de la norme RGS (Référentiel Général de Sécurité, version 2.0 qui devrait entrer en vigueur en juillet 2016) définie par le SGMAP et l'ANSSI, pour assurer un espace de confiance en France (Norme qui est elle même basé sur la norme Européenne ETSI).
Cette norme définie un certain nombre de règles que les Autorités de certification doivent respecter pour se voir obtenir la qualification (à savoir que l'obtention de la norme à une durée effective d'un an, donc chaque année, l'AC doit à nouveau être examinée pour garantir qu'elle respecte toujours ses engagements initiaux, mais également, en cas de mise à jour des normes, qu'elle respecte aussi les nouvelles recommandations/obligations).

La norme RGS est elle même ensuite découpé en trois niveaux : RGS *(une étoile), RGS** et RGS***.
Plus vous montez en niveau, plus le certificat est qualifié. pour cela un exemple simple
- Un certificat SSL RGS* peut être délivré en ligne. Pour cela l'AC vérifiera que c'est bien le propriétaire du domaine qui effectue la demande de certificat, elle vérifiera également l'identité du demandeur. Le certificat pourra alors être simplement délivré sous forme d'un fichier logiciel par exemple (type PKCS12).
- Un certificat SSL RGS** disposera des même prérequis de vérification que le SSL RGS*, plus :
- L'obligation de stocker la clé privé sur un boitier cryptographique qualifié
- L'obligation de remettre le certificat en face à face au demandeur (permet de valider de visu l'identité du demandeur).

Nb : Pour les certificats de serveurs, le norme de définie pas de niveau trois étoiles qui est par contre appliqué pour les certificats à destinations des personnes physiques (signature électronique, chiffrement, authentification).
Nb2 : J'ai volontairement pris l'exemple du certificat SSL, même si en pratique, le SSL RGS** n'est quasiment pas commercialisés par les autorités de certifications au vu des difficulté et des coûts relatifs à la délivrance de ce type de certificat.

Donc, théoriquement, un site équipé d'un certificat RGS** devrait obtenir un degré de confiance plus élevé qu'un site équipé d'un SSL RGS*. Pourtant au niveau du navigateur, il n'y aura aucune différence.

Pour revenir au sujet principal de ce sujet, ajoutez à cela qu'il existe encore bien d'autres normes (chaque pays ayant un peu ses normes nationales), qui ont chacune leurs critères de "confiance", ça peut vite devenir un beau bordel pour gérer les magasins de certificats.

Imaginez en plus que chaque éditeur est libre de faire son propre magasin de certificat avec ces propre critères d'intégration. C'est comme cela par exemple que vous pouvez retrouver des site équipé d'un certificat SSL reconnu sur Firefox, et pas sur Internet Explorer ou Chrome (Mozilla utilise son propre magasin de certificat, Microsoft utilise son propre magasin, Adobe dispose de son propre magasin, ...).

Bon je commence à m’étaler sur le sujet alors que ce n'était pas mon envie initiale (on dérape vite quand on se lance à parler de chose qui nous intéressent ^^), je vais donc essayer de conclure simplement et rapidement.

Pour moi l'idée de letsencrypt est très bonne, dans le sens où cela va permettre de sensibiliser les éditeurs web dans la sécurisation de leurs données mais, également les internautes qui seront un peu plus souvent confrontés aux sites utilisant des certificats SSL.
Par contre, le point faible dans tout ça reste la gestions des listes de confiances, c'est à dire, pouvoir savoir à qui je peux faire confiance, qui peut m'assurer que le propriétaire du site est bien celui qu'il prétend être ?

je suis certain que ce problème pourrait être résolu en passant par un système de magasin globale qui définirait une seule liste d'autorité de confiance que toutes les plateformes, navigateurs, pourraient utiliser plutôt que de chacun faire sa propre tambouille dans son coin. Je ne dit pas que c'est simple (qui s'en chargerait, comment homogénéiser les critères d'acceptation, ...).

bref en quelques mots, "A qui puis-je faire confiance ?"

Ps : Pardonnez mes erreurs de frappes, il se fait tard et j'espère que tout ceci, une fois envoyé ne sera pas trop brouillon

------------
Lecture complémentaires pour ceux que ça intéresse (et les plus courageux ^^):
- Le RGS : http://www.ssi.gouv.fr/entreprise/re...-securite-rgs/
- Les normes européennes avec la parution "récente" du réglement EiDas piur harmoniser la confiance entre les pays européen : http://eur-lex.europa.eu/legal-conte...LEX:32014R0910 (remplacera les normes ETSI TS 102 042 et ETSI TS 101 456)
- Cabinet d'audit accrédité pour auditer les autorité de certification souhaitant obtenir les qualifications RGS : http://www.lsti-certification.fr/ind...ation-rgs.html
avec une liste de nombreuses AC qualifiée : http://www.lsti-certification.fr/ima...ste%20PSCe.pdf
2  0 
deusyss
Avatar de deusyss
Expert éminent https://www.developpez.com
Le 19/11/2014 à 16:42
Très bonne initiative.
1  0 
Commenter Signaler un problème