Discussion :

[Hinault Romaric]

L’EFF et Mozilla lancent une nouvelle autorité de certification pour chiffrer tout le Web,
« Let’s Encrypt » délivrera gratuitement des certificats TLS/SSL

Le protocole HTTPS (HyperText Transfer Protocol Secure) offre une meilleure sécurité des informations transmises sur le Web grâce au chiffrement des données. Si les sites de gestion de transactions financières, les réseaux sociaux ou encore les messageries électroniques utilisent largement le protocole, son adoption sur le Web tarde à se généraliser.

De nombreux sites Web utilisent encore HTTP, qui laisse les internautes vulnérables à beaucoup d'attaques, notamment le détournement de leur compte, le vol de leur identité, les injections de scripts malveillants ou encore l’espionnage des gouvernements.

Les éditeurs de sites Web font face à de nombreuses difficultés dans l’adoption de HTTPS. Les principales difficultés seraient, selon l’EFF (Electronic Frontier Foundation), liées à la complexité administrative de la souscription au protocole et au coût que requièrent des certificats HTTPS.

« Le protocole HTTPS dépend d’une administration horriblement complexe et souvent structurellement dysfonctionnelle pour l’authentification », s’insurge l’organisme de protection de la vie privée des internautes. « La procédure administrative pour obtenir, gérer et installer des certificats est la principale raison qui pousse les sites Web à rester sur HTTP au lieu de migrer vers HTTPS. »

Pour pallier à ces obstacles, l’EFF en collaboration avec la fondation Mozilla, Cisco, Akamai, IdenTrust et des chercheurs de l’université du Michigan, lance le projet « Let’s Encrypt ».

Le but de cette initiative est d’accélérer l’adoption du protocole HTTPS. « Let’s Encrypt » est une nouvelle autorité de certification qui fournira gratuitement des certificats SSL/TLS aux sites Web. L’organisme sera opérationnel à partir du deuxième trimestre de l’année prochaine et sera géré par l’Internet Security Research Group (ISRG), une nouvelle organisation à but non lucratif.

En plus de fournir gratuitement des certificats, « Let’s Encrypt » automatisera également le processus de délivrance des certificats, de configuration et de renouvèlement, afin d’encourager une adoption généralisée de TLS.

Ainsi, l’opération de configuration d’un certificat sur un site Web, qui pouvait prendre jusqu’à trois heures de temps, se fera désormais en quelques secondes. Un nouveau protocole baptisé ACME (Automated Certificate Management Environment) et développé par ces entreprises sera utilisé entre les serveurs Web et l’autorité de certification pour valider le nom de domaine avant de générer et d'installer automatiquement un certificat.

Tous les outils qui ont été développés autour de ce projet seront publiés dans une licence open source.


Source : EFF


Et vous ?

Qu'en pensez-vous ? Belle initiative pour un Web sécurisé ?

[deusyss]

Très bonne initiative.

[Xurudragon]

Effectivement c'est une très belle perspective pour la "sécurité" du web.

Espérons que les fournisseur de services Web pour tout à chacun sensibilise leurs clients à cette procédure.
Voir peut-être même une installation automatique de la part du fournisseur.

En tout cas belle initiative de l'EFF et Mozilla.

[Saverok]

J'ai hâte de voir ça en application

[earhater]

Pensez à regarder cette vidéo de démonstration de l'EFF, elle montre les capacités de l'outil :

[marsupial]

Des news comme celle-ci, j'en veux bien tous les soirs ...

Entre Firefox en nightly avec le réseau Tor, les téléphones dont les applications s'exécutent dans des environnements cloisonnés et maintenant des certificats simplifiés et automatisés pour les sites web, la double authentification, ... le A3 ( Advanced Adaptive Applications ) en open source développé pour le DARPA, ...

une suggestion pour naviguer l'esprit tranquille ?

J'allais oublier l'association entre Samsung et Blackberry pour sécuriser les Galaxy.

[Roadkiller]

Très bonne initiative ! Ils ont parfaitement compris la problématique actuelle autour des certificats.
En effet, les navigateurs internet "râlent bien plus à la figure" des utilisateurs lorsque le site visité utilise HTTPS avec un certificat auto-signé que lorsque le site est fourni en HTTP... Or, vu la complexité administrative mais aussi et surtout le coût des dits certificats, de nombreux sites (mis en ligne par des particuliers) se rabattent malheureusement sur HTTP.

Je suis par exemple dans ce cas là, je paie déjà le serveur et le nom de domaine pour faire tourner mon site à faible trafic. Un certificat seul me couterait plusieurs fois le montant investi pour le serveur et le nom de domaine. Je salue donc l'initiative !

[Zefling]

C'est vrai que c'est horrible à mettre en place... là ça a l'air ULTRA simple. Je veux !!

[RyzenOC]

C'est vrai que c'est horrible à mettre en place... là ça a l'air ULTRA simple. Je veux !!

Surtout que c'est cher aussi !, 50€/ans !!!!

Pour des sites persos (dans mon cas) on veut faire un site web, pas cher et sans pub.

J'heberge mon site chez moi sur un raspberry, le nom de domaine c'est déjà 8€/ans, + 8€ le courant/ans +50€ le raspberry.

Mais c'est clair que j’achèterais jamais de certificat >10€
Quand a son propre certificat, les navigateurs gueulent comme si ce site était un site illégale, et c'est compliquer/chiant a installer.

Donc http pour moi, j'espere que ce projet aboutira, car il est une réel opportunité pour moi.

C'est d’ailleurs l'objectif d'internet, la décentralisation plutôt que de tout hébergée chez OVH (je parle des petits sites)

Avec la fibre optique, les micro ordinateurs peu gourmand et pas cher, il manque plus que le https gratuit, et on pourra enfin devenir indépendant.

[PatteDePoule]

Surtout que c'est cher aussi !, 50€/ans !!!!

Mon hébergeur a un partenariat avec AlphaSSL et c'est seulement 30$ le certificat. Les prix diffères d'un vendeur à l'autre, mais je crois que la moyenne est bien 80$ (50€?) par années et 180$ pour un Wildcard (*.mondomaine.com).

[RyzenOC]

Oui c'est bien en €, mais visible , c'est pas le plus cher visiblement (ton 80$)

[Farnsworse]

Ce que je trouve choquant, c'est qu'on vient flinguer le principe de base du certificat: c'est à dire l'authentification des agents. La plupart des gens pensent qu'on délivre des certificats comme ça, simplement parce que t'as allongé le chèque auprès du CA. Non, le but du CA c'est de se porter garant de l'identité du détenteur du certificat. Là en gros, Mozilla veut permettre à n'importe qui, à travers un service quasi automatisé, d'obtenir des certificats dont l'authenticité semble très contestable. Certains experts pourront dire qu'il existe les certificats EV, le problème est que Madame Michu et Monsieur Duchmol ne remarqueront rien, pourvu qu'il y ait un cadenas dans la barre d'URL lorsqu'ils consultent leur banque en ligne.

[RyzenOC]

Oui mais je pense qu'on s'en fou du certificat en lui même, ce qui compte c'est le https qui permet de crypter les échanges client-serveurs.
C'est plutôt cela leurs objectifs, que tout le monde soit en https.

C'est comme passer de telnet a ssh.

[Max Lothaire]

Ce que je trouve choquant, c'est qu'on vient flinguer le principe de base du certificat: c'est à dire l'authentification des agents. La plupart des gens pensent qu'on délivre des certificats comme ça, simplement parce que t'as allongé le chèque auprès du CA. Non, le but du CA c'est de se porter garant de l'identité du détenteur du certificat. Là en gros, Mozilla veut permettre à n'importe qui, à travers un service quasi automatisé, d'obtenir des certificats dont l'authenticité semble très contestable. Certains experts pourront dire qu'il existe les certificats EV, le problème est que Madame Michu et Monsieur Duchmol ne remarqueront rien, pourvu qu'il y ait un cadenas dans la barre d'URL lorsqu'ils consultent leur banque en ligne.

Si le site contient seulement un système de membre (blog, forum), on doit seulement permettre l'utilisation d'https.
Dans le cas d'un site qui utilise un système de paiement en ligne, c'est évidement plus complexe.
L'idéal serait que ce service s'adapte aux besoins du site à sécuriser.

[Farnsworse]

Ok, voyons-voir:

• Je me paie un nom de domaine du style faceboook.com avec le certificat qui va bien et signé par ce CA vu qu'aucun contrôle ne sera effectué.
• J’héberge un site passerelle qui, vous l'aurez deviné, est un vulgaire piège de phishing.
• Je balance quelques emails avec un message provoquant la panique chez ma cible et un lien maquillé vers mon piège.
• L'utilisateur en confiance, vu que HTTP est encapsulé dans TLS sur ce site, se connecte et... Oh bon sang, j'ai le mot de passe en clair!
• Fin du spectacle, baisse du rideau, applaudissements.

Bref, ça ne sert à rien de chiffrer si on n'est pas certain de l'identité de son interlocuteur.

Et sinon, SSH et TLS ne sont pas comparables tant sur le fond que la forme j'en ai bien peur.

[RyzenOC]

Ok, voyons-voir:

Je me paie un nom de domaine du style faceboook.com avec le certificat qui va bien et signé par ce CA vu qu'aucun contrôle ne sera effectué.
J’héberge un site passerelle qui, vous l'aurez deviné, est un vulgaire piège de phishing.
Je balance quelques emails avec un message provoquant la panique chez ma cible et un lien maquillé vers mon piège.
L'utilisateur en confiance, vu que HTTP est encapsulé dans TLS sur ce site, se connecte et... Oh bon sang, j'ai le mot de passe en clair!
Fin du spectacle, baisse du rideau, applaudissements.

Sauf que y'a pas besoin de https pour faire ce que tu dis.

Je préfère qu’une minorité de site de phishing se développe mais de pouvoir sécurisée l'internet mondiale.
C'est comme l'internet, je préfère donnez l’accès a internet a tous, même si une minorité s'en servira pour la pédophilie.

[Algo D.DN]

Qu'en pensez-vous ? Belle initiative pour un Web sécurisé ?

Je reste un peu perplexe, pas sur la forme mais sur le fond, si le https se généralise à terme, on va certainement se diriger vers une couche supplémentaire https + pe, qui permettra de faire la distinction entre espace standard et sécurisé, apte à répondre aux besoins de transactions de type authentifications...

Comme le dit Farnsworse pour certains domaines il y a des exigences (de sécurité) à satisfaire, si le https ne permet plus de faire la distinction (dans le sens satisfaire des exigences, ISO/CEI 27001I, par exemple), on va invariablement se diriger vers un procédé qui va permettre de faire la distinction entre deux niveaux d'exigences, l'une sûre et l'autre sûre mais + émanant d'une (certaine) autorité qui garantira que l'entité à une PSSI stricte qui répond à des exigences ISO/CEI...

... Bon j'ai un peu l'impression de tourner en rond là...

[Max Lothaire]

Ok, voyons-voir:

• Je me paie un nom de domaine du style faceboook.com avec le certificat qui va bien et signé par ce CA vu qu'aucun contrôle ne sera effectué.
• J’héberge un site passerelle qui, vous l'aurez deviné, est un vulgaire piège de phishing.
• Je balance quelques emails avec un message provoquant la panique chez ma cible et un lien maquillé vers mon piège.
• L'utilisateur en confiance, vu que HTTP est encapsulé dans TLS sur ce site, se connecte et... Oh bon sang, j'ai le mot de passe en clair!
• Fin du spectacle, baisse du rideau, applaudissements.

Bref, ça ne sert à rien de chiffrer si on n'est pas certain de l'identité de son interlocuteur.

Et sinon, SSH et TLS ne sont pas comparables tant sur le fond que la forme j'en ai bien peur.

faceboook.com est différent de facebook.com.
Je n'ai pas besoin que le certificat me confirme que ce n'est pas facebook pour savoir que je ne suis pas sur le bon site.
(Et si Mme Michu n'est pas capable de le voir d'elle même, alors elle ferait peut-être mieux de résilier son abonnement auprès de son FAI)

[Saverok]

faceboook.com est différent de facebook.com.
Je n'ai pas besoin que le certificat me confirme que ce n'est pas facebook pour savoir que je ne suis pas sur le bon site.
(Et si Mme Michu n'est pas capable de le voir d'elle même, alors elle ferait peut-être mieux de résilier son abonnement auprès de son FAI)

Tu ne fais jamais de faute de frappe ?
Tu ne lis jamais de travers ?
Tu contrôles tout et tout le temps ?
Tu n'as jamais la tête dans le cul ?
Sur le web, y compris depuis ton mobile, tu contrôles à chaque fois l'URL de la page avec l'ensemble des paramètres et tu as constamment un debugger ouvert pour contrôler les trames ?
Quand tu développes, tu ne fais jamais d'erreur et tu prévois absolument tous les cas possibles et imaginables, bien sûr...
Tu es un homme infaillible, invincible même !!
Celui qui te duperas n'est pas né !!

Arrête de te la péter
Le logos du "petit cadenas" sert autant à madame Michu qu'aux experts en sécu
Même si on "maîtrise" les règles de sécurité informatiques, notre attention et notre concentration n'est pas en alerte en permanence et avoir un balisage est bien pratique

Note :
J'ai beau connaître les normes de formatage de code, avoir un checkstyle est tout de même bien pratique

[Max Lothaire]

Tu ne fais jamais de faute de frappe ?
Tu ne lis jamais de travers ?
Tu contrôles tout et tout le temps ?
Tu n'as jamais la tête dans le cul ?
Sur le web, y compris depuis ton mobile, tu contrôles à chaque fois l'URL de la page avec l'ensemble des paramètres et tu as constamment un debugger ouvert pour contrôler les trames ?
Quand tu développes, tu ne fais jamais d'erreur et tu prévois absolument tous les cas possibles et imaginables, bien sûr...
Tu es un homme infaillible, invincible même !!
Celui qui te duperas n'est pas né !!

Arrête de te la péter
Le logos du "petit cadenas" sert autant à madame Michu qu'aux experts en sécu
Même si on "maîtrise" les règles de sécurité informatiques, notre attention et notre concentration n'est pas en alerte en permanence et avoir un balisage est bien pratique

Note :
J'ai beau connaître les normes de formatage de code, avoir un checkstyle est tout de même bien pratique

Une vigilance constante ? bien sur que non.
Mais quand, comme dans ton exemple de phishing, je reçois un mail bien alarmiste qui me demande mes identifiants et mots de passes, j'ai alors toutes les raisons du mondes d'être méfiant et de ne pas me fier au seul cadenas.
De plus, Avast (je ne saurait dire quel édition) propose des outils pour limiter ces risques.

Je peux très bien comprendre ton point de vue. Un petit logo pour indiquer que la connexion est sécurisé est bien utile, mais ce n'est pas une garanti absolu.

Les modalités actuelles d'obtention des certificats sont un freins quand tu veux faire un site sécurisé, d'où cette initiative.