Annoncé il y a un peu moins d’un an par Mozilla, l’EFF et Cisco, l’initiative Let’s Encrypt est désormais entrée en phase de beta privée, avant un passage en beta public prévu pour le mois prochain.
Le projet a en effet passé une étape cruciale pour son bon fonctionnement : son certificat racine a été signé par IdenTrust, une autorité de certification reconnue par quasiment tous les navigateurs. Ainsi, un site utilisant un certificat Let’s Encrypt pourra être visité sans que le navigateur affiche une alerte de sécurité et sans avoir à ajouter de certificat racine.
Pour rappel, l’initiative Let’s Encrypt vise à mettre en place un service de distribution de certificats SSL gratuit et facile d’utilisation, pour inciter un maximum de sites web à basculer vers le HTTPS.
Bon nombre de propriétaires de sites web sont en effet freinés par le coût et la complexité des fournisseurs de certificats SSL actuels : il existe quelques offres de base gratuites, mais la plupart des temps il faut montrer patte blanche en fournissant de nombreuses pièces (pièce d’identité, justificatif de domicile…).
Avec Let’s Encrypt, il sera possible d’obtenir un certificat gratuitement, en prouvant simplement qu’on est le propriétaire du site web concerné en ajoutant une entrée à son enregistrement DNS ou en déposant un fichier à la racine du site, à la manière dont fonctionnent déjà les procédures de validation de différents services pour webmasters. Let’s Encrypt fournira en outre des outils pour faciliter la génération et l’installation des certificats sur un serveur Linux.
Great !
Par contre, il ne verifient pas que le site dont on est propriétaire ne oit pas un doublon pour faire du fishing ?
Ca craint pas ?
Les autorités de certification actuelles ne vérifient pas ce genre de choses non plus pour les certificats de base.
C’est pour ça qu’il y a plusieurs niveau de certificats. Le premier niveau c’est un certificat qui atteste juste que tu communiques bien avec une machine contrôlée par le propriétaire de l’URL. C’est ce qui affiche un simple cadenas dans la barre d’adresse (comme c’est le cas ici, actuellement certifié via StartSSL, mais que je vais probablement migrer vers Let’s Encrypt quand mes certificats expireront, StartSSL est trop limité). Le but de ces certificats est avant tout d’assurer le chiffrement des données entre toi et le serveur, pas de te garantir l’identité du propriétaire du serveur. Et c’est ce type de certificat que va proposer Let’s Encrypt, puisque leur but c’est juste de généraliser le chiffrement. Ces certificats n’offrent aucune protection contre le phising, si ce n’est le fait qu’ils peuvent être révoqués.
Le deuxième et le troisième niveau attestent que l’identité de celui (personne physique ou personne morale) qui a demandé le certificat a été vérifiée. Quand tu cliques sur le cadenas, ce nom s’affiche. À partir de ce niveau, tu as une protection minimaliste contre le phising : tu peux vérifier que l’identité correspond bien au site que tu penses visiter.
Le plus haut niveau (certificat étendu) atteste que l’autorité de certification a vérifié l’identité du demandeur et sa légitimité à utiliser un nom de domaine. Par exemple, si tu demandes un certificat pour un nom similaire à celui d’un gros site connu, tu as aucune chance de l’obtenir, sauf si tu as vraiment une boîte qui porte ce nom et a le droit de l’utiliser. Ces certificats sont reconnaissables quand tu visites le site : le cadenas s’affiche en vert ou sur fond vert, et généralement le nom de la société est également ajouté directement à côté du cadenas, sans avoir à cliquer dessus. Ce sont les seuls qui t’offrent une garantie totale contre le phising… tant que l’autorité de certification ne s’est pas faite pirater…