Discussion :

[Stéphane le calme]

Avec ses certificats SSL gratuits, Let's Encrypt pourrait-il représenter un danger pour la sécurité sur le Web ?
Oui, selon des experts

L’autorité de certification Let's Encrypt a distribué un grand volume de certificats gratuits par jour en 2016, dépassant parfois la barre des 100 000 certificats par jour. Fin juin, l’autorité a indiqué avoir franchi les 100 millions de certificats depuis son lancement en décembre 2015. Rappelons qu’en février 2017, Let's encrypt était utilisé par 13,70 % du total des domaines français enregistrés.

Josh Aas, directeur exécutif de l’ISRG (Internet Security Research Group),l'organisation qui supervise Let's Encrypt, y est allé de son commentaire : « Ce nombre reflète au moins quelques éléments :
« tout d'abord, cela illustre la forte demande de nos services. Nous souhaitons remercier tous les administrateurs système, les développeurs Web et tous les autres gestionnaires de serveurs pour prioriser la protection de vos visiteurs avec HTTPS.
« Ensuite, cela illustre notre capacité d'évolutivité. Je suis incroyablement fier du travail que nos équipes d'ingénieurs ont fait pour rendre possible ce volume de diffusion. Je suis également très reconnaissant à nos partenaires opérationnels, parmi lesquels IdenTrust, Akamai et Sumo Logic.
« Et enfin, cela illustre la puissance de la gestion automatisée des certificats. Si l'obtention et la gestion de certificats de Let's Encrypt nécessitent toujours des étapes manuelles, il n'y a tout simplement aucun moyen de pouvoir utiliser autant de sites que nous. »

Cependant, malgré les louanges des militants de la vie privée ainsi que ceux de la communauté de sécurité qui sont venus saluer les efforts et les réalisations de l’organisme à but non lucratif, certains critiques ont sonné la cloche d’alarme en prévenant que Let's Encrypt pourrait être coupable d'aller trop loin, trop vite et de donner trop de bonne chose sans avoir mis sur pied les bons contrôles et contrepoids.

L'inquiétude principale est que, bien que la croissance de l’utilisation du protocole SSL/TLS soit une tendance positive pour l’écosystème du Web tout entier, elle offre également aux criminels un moyen simple de faciliter la falsification des sites Web, l'emprunt d'identité des serveurs, les attaques man-in-the-middle, mais aussi un moyen de faire passer des logiciels malveillants à travers les mailles du filet des pare-feux d'entreprises.

« Les utilisateurs peu conscients pourraient penser qu'ils communiquent avec des sites fiables, car l'identité du site a été validée par une autorité de certification, sans se rendre compte que ce ne sont que des certificats de validation de domaine sans aucune garantie quant à l'identité de l'organisation propriétaire du site » , a déclaré Asif Karel, directeur de la gestion des produits chez Qualys.

Bien entendu, les critiques ne rendent pas Let’s Encrypt responsable de ces abus, mais elles estiment que l’autorité pourrait faire un meilleur travail en vérifiant les candidats pour éliminer les mauvais acteurs.

« Let’s Encrypt peut, dans l’absolu, être trompé », a reconnu Josh Aas. « Toutefois, il en va de même pour les autres autorités de certification. Les gens se comportent comme si Let's Encrypt est la première autorité de certification à être trompée. C'est absurde. »

Les certificats de validation de domaine sont une solution évidente pour sécuriser les communications entre un navigateur Web et un serveur utilisant un protocole SSL/TLS. Let's Encrypt est un système automatisé de libre-service qui vérifie seulement qu'un candidat maîtrise un domaine avant de délivrer un certificat gratuit. Pour les experts, ce type de système a des chances d’être trompé lors de la délivrance de certificats de validation de domaine.

Les certificats de validation de domaine ne doivent pas être confondus avec des certificats étendus de validation et de validation organisationnelle. Ces certificats de niveau supérieur utilisés par les banques, les assureurs et les sites de commerce électronique nécessitent un examen approfondi des candidats pour s'assurer que les sites sont ceux qu'ils disent être. Outre le HTTPS vert montré dans les navigateurs, ces certificats de niveau supérieur peuvent également montrer le nom de l'entreprise et en plus d'une multitude de données sur le site. Let’s Encrypt délivre uniquement les certificats de validation de domaine basiques. Les autorités de certificats commerciaux émettent les trois niveaux et ne sont pas non plus tenues de procéder à un examen approfondi des candidats à la validation de domaine.

« Je pense que le problème de sécurité est dans le processus d'authentification d'obtenir un certificat de (validation de domaine). Tout cela est fait en disant : “D'accord, ici, j'ai un domaine”. Je pense qu'il devrait y avoir un certain processus de vérification. Cela rendrait plus difficile pour les acteurs malveillants de les obtenir », a déclaré Justin Jett, directeur de l'audit et de la conformité chez Plixer, un cabinet d'analyse du trafic réseau.

Si lui, et d’autres professionnels saluent le travail abattu par Let’s Encrypt, il est persuadé que l’autorité occupe une position unique pour jouer un rôle de leader qui pourrait être utilisé pour réprimer l'abus de certificat en ce qui concerne une meilleure vérification des candidats afin d'éliminer les cybercriminels. Mais Let's Encrypt a fait valoir que vérifier 100 000 demandes de certification par jour n'est pas du domaine du réalisable. Et de rappeler qu'il n'est pas exigé des autorités de certification qu’elles vérifient ce type de certificat et qu’il serait donc injuste de vouloir l’imposer à Let’s Encrypt.

À partir de janvier 2018, Let's Encrypt a déclaré qu'il présentera des certificats génériques aux entreprises. Cela signifie que n'importe qui avec un domaine tel que « exemple.com » pourra désormais créer un nombre illimité de sous-domaines génériques tels que « premier.exemple.com » et « second.exemple.com » et ainsi de suite.

« Avec les certificats génériques, les pirates peuvent maintenant changer facilement les noms d'hôtes pour leurs sites de phishing sans avoir besoin de changer le certificat, rendant les attaques Man-in-the-middle encore plus difficile à détecter », a déclaré Karel. « La préoccupation est que les acteurs malveillants peuvent utiliser ces certificats beaucoup plus souvent que les bons. »

Source : Let's Encrypt, annonce des certificats génériques

Et vous ?

Qu'en pensez-vous ? Partagez-vous l'opinion de ces chercheurs ?
De par sa position qui commence progressivement à devenir incontournable, Let's Encrypt serait-il tenu d'être plus rigoureux que les autres autorités ?

Voir aussi :

Plus de 14 000 certificats SSL contenant le mot « PayPal » ont été délivrés par Let's Encrypt à des sites de phishing, en l'espace d'un an

[Vulcania]

Le soucis que je trouve avec Let's Encrypt, c'est qu'on affiche un petit cadenas vert à côté de l'url. Let's Encrypt ne vérifie pas du tout l'identité du propriétaire du domaine, ni ce qu'il cherche à faire avec.

J'aurais préféré : http simple => cadenas rouge barré, https simple => rien, c'est "neutre", https vérifié => cadenas vert, au moins la plupart des gens comprendront.

[Marc3001]

C'est pas vraiment un problème lié à let's encrypt.
Let's encrypt délivre des certificats SSL standard avec le même niveau de vérification que d'autres autorités de certification.

C'est le navigateur, qui décide de mettre un cadenas vert à partir du moment où la connexion au site est chiffrée.

[Mingolito]

Il en reste pas moins qu'il y a tromperie manifeste, puisque le grand public est convaincu que cadenas vert = sécurité alors que pendant ce temps Let's Encrypt envoie des dizaines de milliers de certificats à des sites escrocs...

Exemple : L'histoire d'une arnaque sur Internet qui cible des Français et qui rapporterait des dizaines de millions chaque année aux arnaqueurs : Escroquerie, mais cadenas vert !

Combien de gens savent qu'on peu avoir un cadenas vert et être sur un site d'escroc ?

[Andarus]

Le soucis que je trouve avec Let's Encrypt, c'est qu'on affiche un petit cadenas vert à côté de l'url. Let's Encrypt ne vérifie pas du tout l'identité du propriétaire du domaine, ni ce qu'il cherche à faire avec.

c'est quoi du https vérifié et qui on rend responsable de le certifier?

[Shepard]

Combien de gens savent qu'on peu avoir un cadenas vert et être sur un site d'escroc ?

Pourquoi mettre en cause Let's Encrypt ? Un escroc va-t-il vraiment regarder à dépenser 500€ pour avoir un certificat ? C'est sûr que si c'est gratuit il ne va pas se priver, mais si c'est payant ça ne le dérange certainement pas outre mesure.

L'exemple dont tu parles existe depuis bien plus longtemps que Let's Encrypt, et s'il existe vraiment, génère vraisemblablement des millions d'euros ^^

[Gecko]

c'est quoi du https vérifié et qui on rend responsable de le certifier?

Un certificat vérifié est délivré après un contrôle des documents relatifs à l'identité de l'acquéreur.

Par exemple dans ma boîte à chaque renouvellement (tous les ans) le prestataire revalide point par point l'identité du CTO, du DG et les documents relatifs à l'entreprise.

Let's encrypt devrait bénéficier d'un visuel différents, style cadenas orange au lieu du cadenas vert.

De plus la longueur de la clé devrait déterminer la teinte du logo.

[Andarus]

Un certificat vérifié est délivré après un contrôle des documents relatifs à l'identité de l'acquéreur.

Par exemple dans ma boîte à chaque renouvellement (tous les ans) le prestataire revalide point par point l'identité du CTO, du DG et les documents relatifs à l'entreprise.

Let's encrypt devrait bénéficier d'un visuel différents, style cadenas orange au lieu du cadenas vert.

De plus la longueur de la clé devrait déterminer la teinte du logo.

Merci j'ai appris un truc