Firefox 50 sera la première version du navigateur à reconnaître le certificat racine de Let's Encrypt. Une étape importante pour l'autorité de certification qui, maintenant que son modèle est établit, doit assurer son indépendance.
Let's Encrypt vient de franchir une nouvelle étape, de taille : son certificat racine (ISRG Root X1) va être reconu par Firefox. Comme nous l'évoquions lors de notre point d'étape sur le HTTPS pour tous en février dernier, l'autorité de certification n'était en effet acceptée au sein des navigateurs qu'à travers Identrust.
Sponsor « Gold » du projet, la société avait en effet signé les certificats intermédiaires de Let's Encrypt, lui ouvrant ainsi automatiquement les portes des navigateurs. Un élément qui avait freiné d'autres initiatives du genre par le passé, notamment CACERT.
Un audit était en cours auprès de Mozilla. Son résultat vient d'être publié et l'annonce est tombée : Firefox 50 sera la première version du navigateur à reconnaître le certificat racine de Let's Encrypt, qui pourra alors signer les certificats intermédiaires qui émettent ceux utilisés par les sites. Cette version est attendue pour la fin de l'année.
L'autorité de certification, qui s'est donnée pour mission de proposer des certificats gratuits afin de favoriser l'adoption de HTTPS sur les sites et au sein de nombreux services, a néanmoins encore du chemin à faire pour assurer son indépendance.
Car outre Mozilla, il reste de nombreuses sociétés à convaincre avant de pouvoir se passer du partenariat avec Identrust. L'équipe précise néanmoins que des procédures sont déjà en cours, notamment auprès d'Apple, BlackBerry, Google, Microsoft et Oracle.
Commentaires (19)
#1
Qui c’est qui a laisser des lignes de debug sur la version mobile du site ? " />
J’ai un lien “test” à la fin des sous titre quand je suis sur la page d’un article
Le lien pointe vers :https://m.nextinpact.com/news/100908-le-certificat-racine-lets-encrypt-sera-reco…
#2
C’est pas moi. ;-)
#3
Aux RMLL Sécurité 2016 on a pu voir un des créateurs de Let’s Encrypt décrire la cérémonie de signature des certificats racine, c’est vraiment très impressionnant.
Une de leurs assomptions est que la NSA pourrait tenter de mettre de gros moyens pour connaître leur clef privée, et ils se protègent en conséquence.
#4
Mozilla n’était pas à l’origine du projet ? Ou du moins un contributeur important ?
#5
favoriser l’adoption de HTTPS sur les sites et au sein de nombreux services
Je pense qu’il aurait été plus pertinent de dire “favoriser l’utilisation de protocoles en mode sécurisé”. Si effectivement le HTTP est l’un des plus répandus, personnellement je l’utilise aussi pour mon serveur mail perso et VPN.
Après, il est toujours bon de rappeler qu’il ne faut pas se baser aveuglément sur le Sacro Saint Cadenas pour se considérer comme “sécurisé”. En cas d’intermédiaire foireux dans la chaîne, c’est toute celle-ci qui se pète la gueule.
#6
Fondateurs : EFF, Mozilla, U-M
Donc oui, mais le projet est devenu en parti indépendant il me semble. En tout cas, il y a tellement de gros soutiens que ça serait étonnant que ça foire.
#7
#8
J’ai testé le script Lets’encrypt sur le syno. Il me demande d’entrer le nom de domaine ( le subject name) du certificat que je souhaite générer. Il y’a un mécanisme qui m’empêche de générer un www.google.com ?
#9
#10
Oui, il y a un test qui vérifie que tu lance le script depuis la machine vers laquelle pointe www.google.com.
#11
sur IIS, il cree un fichier local que les serveurs letsencrypt recuperent via http et le nom de domaine donné donc dificile aire ce que tu decrit
#12
Mozilla " />
google et M$ " />
#13
#14
C’est le serveur de Let’s Encrypt qui valide ta requête de certificat en se connectant au domaine que tu veux “certifier” puisqu’il essaie de récupérer un challenge directement sur le domaine en question justement pour verifier que tu es le propriétaire du domaine. Donc si tu essayes de générer un certificat sur Google.com il faudrait que tu arrives à rendre accessible un fichier qui contient ton challenge sur les serveurs de Google.
Autant dire que sans pirater les DNS utilisé par Lets Encrypt, ça risque d’être difficile.
#15
Ah oui la ca me paraît pas mal :)
#16
Pour lutter contre l’espionnage de masse et protéger les mots de passe (souvent les mêmes pour tous les sites), TLS sur HTTPS c’est un très utile.
#17
De plus, HTTP2 nécessite TLS sur les principaux navigateurs (si ce n’est tous), et dans pas mal de cas ça améliore les performances.
#18
C’est d’ailleurs, AMHA, la raison principale pour laquelle tu ne peux pas avoir de wildcard dans ton certificat
#19
TLS n’était pas nécessaire dans Http/2. C’est une volonté politique (dans le sens action sur la vie de la cité) de Mozilla et de Google qui l’on amené rendre Htpp/2 uniquement en TLS.