Pour lutter contre l’espionnage du trafic web et contre certains types d’attaques, la solution la plus simple, même si elle est loin d’être infaillible, est l’utilisation systématique du protocole SSL. Une utilisation que Mozilla, l’EFF et Cisco veulent généraliser en levant les derniers obstacles qui freinent son adoption.
En effet, alors que le SSL est aujourd’hui supporté par quasiment tous les serveurs web et navigateurs, beaucoup rechignent à l’adopter à cause de la nécessité d’un certificat. Il n’est pas excessivement complexe de générer son propre certificat auto-signé (comme celui utilisé pour Infobidouille), ce qui est suffisant pour une protection basique contre l’espionnage, mais les navigateurs web lèvent alors une alerte de sécurité, qui pourrait détourner certains utilisateurs.
Pour que le SSL soit totalement transparent pour l’utilisateur, il faut adopter un certificat signé par une autorité de certification, ce qui est généralement assez complexe à mettre en place (il faut montrer patte blanche auprès de l’autorité, avec des vérifications prenant parfois plusieurs jours) et peut être très coûteux (parfois plusieurs milliers de dollars par an et par nom de domaine…).
C’est cette complexité que l’EFF, Mozilla et Cisco veulent éliminer, en fondant une nouvelle autorité de certification qui délivrera des certificats gratuitement et rapidement, grâce notamment à un nouveau protocole, l’Automated Certificate Management Environnement, qui permettra d’automatiser les contrôles sur la légitimité d’une demande de certificat, par exemple via l’ajout de clés dans les enregistrement DNS des domaines. Ils fourniront également des outils permettant aux administrateurs de facilement mettre en place les certificats sur leurs équipements.