En froid avec Google, Symantec vend son autorité de certification à DigiCert

En froid avec Google, Symantec vend son autorité de certification à DigiCert

Et un problème de moins !

Avatar de l'auteur
Guénaël Pépin

Publié dans

Internet

03/08/2017 4 minutes
91

En froid avec Google, Symantec vend son autorité de certification à DigiCert

Alors que Chrome prépare la mort de vieux certificats TLS émis par Symantec, ce dernier décide de revendre son autorité à DigiCert pour plusieurs centaines de millions de dollars. Le nouveau propriétaire devra redonner confiance aux navigateurs dans l'ancienne branche de Symantec, accusé de nombreux dysfonctionnements sur plusieurs années.

Symantec n'a plus à se soucier de ses certificats. À l'occasion de ses derniers résultats trimestriels, l'éditeur de solutions de sécurité a annoncé revendre son autorité de certification, que Google compte sortir progressivement de Chrome dans les prochains mois.

L'heureux acquéreur s'appelle Thoma Bravo, derrière DigiCert, un autre mastodonte des certificats TLS pour sites web, surtout utilisés pour garantir la confidentialité des connexions en HTTPS. Tout le système se fonde sur ces sociétés, qui émettent des milliers (voire millions) de certificats, avec la garantie d'une validation rigoureuse, permettant aux navigateurs de s'appuyer sur eux... et de révoquer la confiance dans un acteur précis s'il émet trop de « tampons » litigieux.

DigiCert doit donc acquérir l'autorité de Symantec d'ici la fin de l'année, pour 950 millions de dollars et 30 % de ses actions ordinaires. L'entreprise aura fort à faire pour reconquérir la confiance des éditeurs de navigateurs, en premier lieu Google, qui a commencé son travail de dépréciation d'une large part des certificats émis par Symantec. Un sujet que ce dernier a évité de mentionner dans sa communication.

D'ici octobre 2018, ménage des certificats dans Chrome

Depuis juin et jusqu'en octobre 2018, Google Chrome se débarrasse de la confiance donnée à Symantec. Depuis le début d'année, le torchon brûle entre les deux entreprises, l'autorité affirmant avoir agi rapidement face aux problèmes relevés, dont elle conteste le nombre (en reconnaissant avoir fourni 2 500 validations à des sites inexistants). Google continue de marteler que la société a fourni à tour de bras son assentiment et n'a pas fait les contrôles que doit mener une telle autorité, notamment sur les informations affichées dans les navigateurs.

Une sanction au sein de Chrome, qui représenterait plus de la moitié des pages web vues dans le monde, est un couperet terrible. Le plan actuel du groupe est de retirer la confiance donnée aux anciens certificats Symantec. Entre Chrome 59 (sorti en juin) et Chrome 64 (prévu début 2018), chaque nouvelle version raccourcit de trois mois la durée de validité de chaque certificat visé, pour tomber à neuf mois.

À partir de Chrome 66 (avril 2018), tous les tampons apposés avant juin 2016 n'auront plus la confiance du navigateur. La version 70, prévue pour octobre, entérinera la destitution de l'ancienne autorité. La démarche est soutenue par Mozilla, qui a longuement listé tous les problèmes rencontrés avec Symantec, depuis 2009. Ils vont de questions techniques à la fourniture de certificats de test sur son infrastructure publique.

De son côté, l'autorité déclarait à la mi-juillet mettre en place une nouvelle infrastructure de validation au 1er décembre 2017, sur laquelle doivent migrer tous les clients pour continuer d'être considérés comme bons par Chrome. Sans cela, l'internaute verra la classique page d'avertissement, indiquant que la connexion au site concerné n'est pas sûr. De quoi détourner la majorité d'entre eux.

Regagner la confiance des navigateurs

Une autorité de certification ne vaut que pour la confiance qu'ont les logiciels (dont les navigateurs) dans ses certificats. Un traitement trop lâche des émissions est donc le meilleur moyen de la perdre. C'est la leçon que reçoit Symantec qui, même s'il nie l'ampleur du problème, a tenté ces derniers mois de maintenir ses relations avec des acteurs qui peuvent décider facilement de l'avenir de son activité. 

La revente à DigiCert est donc une manière de faire table rase du passé, en s'appuyant sur une entreprise qui a encore la confiance du secteur. « Nous sommes confiants dans le fait que cet accord comblera les besoins de la communauté des navigateurs. DigiCert discute de cette opération et de ses intentions avec les éditeurs et continuera son étroite collaboration avec eux jusqu'à la clôture de la transaction » déclare DigiCert dans son communiqué... Quand Symantec évite soigneusement le sujet dans le sien.

Des questions restent tout de même en suspens, comme la transition des vieux certificats vers DigiCert, l'avenir de la nouvelle plateforme de l'autorité (qui pourrait simplement être celle du nouveau propriétaire, le calendrier convenant) ou encore les garanties concrètes que l'acquéreur compte apporter aux éditeurs de navigateurs. La réponse dans les prochains mois.

Écrit par Guénaël Pépin

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

D'ici octobre 2018, ménage des certificats dans Chrome

Regagner la confiance des navigateurs

Commentaires (91)


C’est pas Google qui avait refilé des certificats moisis aussi à des sites louches ?


C’est plutôt de vrai-faux certificat “google.com” “gmail.com” etc. qui avait été émis par une autorité de certif après un piratage non ?


et rien pour Letsencrypt ?

Dans le genre certificat pour sites de phishing, ils sont au top…


Le vrai soucis est qu’on a martelé pendant des années que “si le cadenas est là, c’est sécurisé”

Alors que HTTPS ne garantit que deux choses :

-Que le site que l’on voit en face est bien celui affiché dans la barre d’adresse

-Que la communication n’a pas été interceptée au milieu (et encore, s’il n’y a pas de proxy transparent au milieu avec inclusion du certificat racine dans la machine)


C’estle problème du “tout HTTPS”.

Avant les certificats avaient deux objectifs : le chiffrement de la connexion et la validation de l’identité (d’où les certificats payants avec parfois des assurances derrières)



Maintenant que tout le monde pense que le cadenas vert suffit à être en sécurité… facile de faire du pishing.

Il faudrait des cadena d’autres couleurs pour différencier les certificats “identité garantie” des certificats sans contrôle.








alegui a écrit :



Le vrai soucis est qu’on a martelé pendant des années que “si le cadenas est là, c’est sécurisé”

Alors que HTTPS ne garantit que deux choses :

-Que le site que l’on voit en face est bien celui affiché dans la barre d’adresse

-Que la communication n’a pas été interceptée au milieu (et encore, s’il n’y a pas de proxy transparent au milieu avec inclusion du certificat racine dans la machine)









CryoGen a écrit :



C’estle problème du “tout HTTPS”.

Avant les certificats avaient deux objectifs : le chiffrement de la connexion et la validation de l’identité (d’où les certificats payants avec parfois des assurances derrières)



Maintenant que tout le monde pense que le cadenas vert suffit à être en sécurité… facile de faire du pishing.

Il faudrait des cadena d’autres couleurs pour différencier les certificats “identité garantie” des certificats sans contrôle.







Au moins on est tous d’accord !

Les navigateurs devraient indiquer un code couleur spécifique pour les certificat à confiance faible, genre :




  • site HTTP : barre rouge

  • site HTTPS avec certificat de faible confiance : barre orange

  • site HTTPS “standard” : barre bleue

  • site HTTPS EV : barre verte



Ou sinon les gens peuvent apprendre à vérifier l’adresse des sites qu’ils visitent, aussi ;)



On ne peut pas reprocher à Let’s Encrypt de délivrer un certificat pour un domaine tel que gooogle.com ou goggle.com (tant que c’est bien le propriétaire du domaine qui demande le certificat, bien entendu). Et je ne vois pas pourquoi un tel site devrait avoir une barre en orange.



C’est aux internautes d’apprendre à vérifier par eux-même qu’ils sont sur un site légitime. Plus on prend les gens par la main, moins ils ont à réfléchir, plus on aura de problèmes.








CryoGen a écrit :



C’est plutôt de vrai-faux certificat “google.com” “gmail.com” etc. qui avait été émis par une autorité de certif après un piratage non ?





C’est possible, je sais plus justement.<img data-src=" />









Freeben666 a écrit :



Ou sinon les gens peuvent apprendre à vérifier l’adresse des sites qu’ils visitent, aussi ;)



On ne peut pas reprocher à Let’s Encrypt de délivrer un certificat pour un domaine tel que gooogle.com ou goggle.com (tant que c’est bien le propriétaire du domaine qui demande le certificat, bien entendu). Et je ne vois pas pourquoi un tel site devrait avoir une barre en orange.



C’est aux internautes d’apprendre à vérifier par eux-même qu’ils sont sur un site légitime. Plus on prend les gens par la main, moins ils ont à réfléchir, plus on aura de problèmes.







Quand on voit le bordel maintenant pour réussir à voir la CA qui a signé un site ! (caché dans outils de développement), ça n’aide pas vraiment les utilisateurs lambda !

&nbsp;

Si quelqu’un achète le domaine la-banque-postale-espace-client.com et récupère un certificat SSL, un non initié peut facilement se faire avoir, d’autant plus que le site apparaît sécurisé.









MatthieuF a écrit :



et rien pour Letsencrypt ?

Dans le genre certificat pour sites de phishing, ils sont au top…





Tu peux très bien hacker (défacer) un site https pour y mettre une page bidon. Le certificat n’a strictement rien à voir là dedans.









MatthieuF a écrit :



Au moins on est tous d’accord !





Non.



Et c’est bien pour ça qu’il faut éduquer les internautes. Leur expliquer que le cadenas veut juste dire qu’on ne peut pas intercepter, mais que ça ne veut pas pour autant dire que le site avec lequel ils communiquent ne leur veut pas de mal.


+1000


Parce que tu connais par cœur tout les services de traitements de paiements par exemple ?

Le pishing ca ne se limite pas à google et facebook…



Il dit qu’il n’a plus de genoux.



Personne n’a dit que le certificat empêchait le piratage. Juste que Let’s encrypt permet d’avoir un joli cadena vert, or beaucoup jusqu’à maintenant la communication a toujours été “vous voyez le cadena ? c’est tout bon”…


Cela existe déjà avec les certificats SSL EV (Extended Validation)

voirhttps://www.globalsign.fr/fr/centre-information-ssl/definition-certificat-ev-ssl…


Ah il y a déjà une légère différence effectivement. Mais faudrait renforcer l’iNpact avec une couleur différente.

Mais merci tout de même, je ne savais pas qu’il y avait déjà une différence d’affichage :)


Y’a des moments, même en faisant attention, on peut se faire avoir.

Un de mes potes a faillit se faire avoir comme ça. C’était une copie parfaite du site original, par contre, y’avais une lettre de différence dans le nom de domaine. Le tout, en ayant un certificat valide.



Donc même en faisant attention, ça peut être facile de se faire avoir.


Surtout avec l’arrivée des accents dans les FQDN… (exemple avec le .fr article nxi .fr








MatthieuF a écrit :



Quand on voit le bordel maintenant pour réussir à voir la CA qui a signé un site ! (caché dans outils de développement), ça n’aide pas vraiment les utilisateurs lambda !

&nbsp;

Si quelqu’un achète le domaine la-banque-postale-espace-client.com et récupère un certificat SSL, un non initié peut facilement se faire avoir, d’autant plus que le site apparaît sécurisé.





Je confirme: C’est la galère ! Je ne comprends pas pourquoi il n’est plus possible de voir le certificat en cliquant sur le cadenas (comme il y avait dans les anciennes versions de chrome)



Les certificats EV, c’est bien sur le principe, mais personne n’y fait gaffe. Surtout qu’en plus, aucun des 10 plus gros sites sur Internet n’en a (pour des raisons que j’ignore, si quelqu’un a une explication…).








Tsunoo92 a écrit :



Je confirme: C’est la galère ! Je ne comprends pas pourquoi il n’est plus possible de voir le certificat en cliquant sur le cadenas (comme il y avait dans les anciennes versions de chrome)







Hum sur Firefox, c’est toujours en passant le cadena.



Hum, l’interception est possible (si on ne regarde pas le certificat). L’utilisateur voit le cadenas vert et l’adresse du site est correcte, donc pour lui tout est bon. Sauf que l’on peut faire du Man in the Middle, ce que font les solutions antivirus (KIS entre autres).


Bien sûr que non, mais mettre en place une nouvelle échelle de couleur ne résoudrais pas le problème. Un site avec un certificat EV (donc belle barre verte), mais avec une vulnérabilité (XSS par exemple) pourrait tout autant être exploité par un pirate, et l’internaute se sentirait à fond en sécurité…



La solution c’est d’apprendre aux gens à réfléchir. Saisir eux-même les URL, ou cliquer sur un lien, mais sur un site qu’ils connaissent et dans lequel ils ont confiance. (genre tu veux ton espace privé sur le site de ta banque ? tu cliques sur un lien depuis le site officiel).


Le MitM sur une connexion TLS n’est possible que s’il n’y a pas de key-pinning. Sinon, soit le navigateur affiche une belle erreur, soit la connexion est carrément refusée.


Tu ne te souviens pas du méchant pishing/scam au moment de la vente de billet pour les JO de Pékin ?

Le site “arnaque” était mieux foutu que le site officiel, et il tombait avant dans les résultats Google.



Ce n’est pas toujours aussi simple.



Et oui évidemment il y a des précautions à prendre, mais là je rappelle qu’on parle d’un indicateur (parmis d’autres) de confiance, justement un indice sur la confiance que l’on peut accorder à un site. S’il se fait pirater, que ce soit du http ou https (EV ou non) ne change rien au problème de base. Là on a quand même un indicateur qui ne veut plus dire grand chose, et pratiquement pas de communication sur le cadena en mode “EV”.



J’ai rien contre Let’s Encrypt, mais vu que tous les sites ont tendances à migrer vers l’https, afficher un cadena “vert” pour tout le monde devient donc inutile comme indication, même contre productive pour la prévention justement.


Justement, c’est là qu’est le problème.



Le cadenas ne devrait pas être vu comme un indicateur de confiance dans le site. C’est uniquement un indicateur de la confiance qu’on peut avoir dans la connexion entre notre navigateur et le serveur hébergeant le site.



Le fait que tous les sites migrent vers des connexions sécurisées est une bonne chose. Et Let’s Encrypt est un des acteurs majeurs ayant favorisé cette implémentation de masse de TLS.








CryoGen a écrit :



Tu ne te souviens pas du méchant pishing/scam au moment de la vente de billet pour les JO de Pékin ?

Le site “arnaque” était mieux foutu que le site officiel, et il tombait avant dans les résultats Google.





Et les résultats Google sont une source de confiance pour être sûr d’être sur un site légitime ?!



Non, c’est juste pour te dire que c’est pas tout le temps si simple. Donc veut mieux le cumul de plusieurs indicateurs.


Oui, mais comme dit plus haut, le cadenas n’est pas fait pour être un indicateur de la confiance à accorder à un site (sauf dans le cas d’un certificat EV à la rigueur), mais uniquement un indicateur de la sécurisation de la connexion au site.








Freeben666 a écrit :



Oui, mais comme dit plus haut, le cadenas n’est pas fait pour être un indicateur de la confiance à accorder à un site (sauf dans le cas d’un certificat EV à la rigueur), mais uniquement un indicateur de la sécurisation de la connexion au site.





Sauf que, pendant longtemps, le message autour de ce cadenas &nbsp;a été &nbsp; : ceci est un indicateur pour savoir si votre transaction “financière” est sure.

Tu entendais cela de la part des sites ou chaîne d’info généralistes, mais aussi des banques, des sites de commerce et même parfois, des éditeurs de navigateur.

&nbsp;

Le problème est que la communication a été mauvaise (pour développer l’usage du net pour les transaction plus ou moins financières) et n’est pas corrigée.



Je suis donc d’accord avec toi qu’en soit, c’est techniquement pas un indicateur de confiance sauf qu’il a été longtemps “vendu” comme tel.









CryoGen a écrit :



C’estle problème du “tout HTTPS”.

Avant les certificats avaient deux objectifs : le chiffrement de la connexion et la validation de l’identité (d’où les certificats payants avec parfois des assurances derrières)





Je n’ai pas lu toute la discussion mais je tient à ajouter un point : c’est aussi la faute des navigateurs si on a du Let’s Encrypt et tout ce joyeux bordel de nos jours. Je m’explique, le HTTPS nécessite un certificat pour fonctionner, soit, cela dit, d’après moi, le but premier d’HTTPS devrait être de sécuriser/chiffrer la connexion entre le client et le serveur, pas de vérifier l’identité du serveur. Et c’est là qu’arrive le drame, les navigateurs affichent une grosse page “WARNING!!! êtes-vous sûr?” lorsque tu utilises du HTTPS avec un certificat auto-signé sur ton serveur, alors que c’est quand même carrément mieux que du simple HTTP que tout le monde peut sniffer. Les navigateurs aurait pu plutôt mettre un cadenas orange par exemple (comme d’autres l’ont suggéré).



Raison pour laquelle je dis que la solution n’est pas de sortir une nouvelle échelle de couleur, qui ne serait même pas rattachée à un indicateur en rapport avec la confiance à accorder au site, mais d’éduquer correctement les gens.








Freeben666 a écrit :



Justement, c’est là qu’est le problème.



Le cadenas ne devrait pas être vu comme un indicateur de confiance dans le site. C’est uniquement un indicateur de la confiance qu’on peut avoir dans la connexion entre notre navigateur et le serveur hébergeant le site.







Ca c’est trop tard. Depuis toujours on nous bassine avec le cadenas vert… Il est bien trop tard pour faire marche arrière! Il faut donc soit en renforcer le sens, soit oublier le cadenas et passer à autre chose.

Oui on est bien d’accord, que nous les “power users”, on sait qu’un cadenas ne veut plus rien dire niveau confiance.



De plus, je rappelle que le certificat était délivré sous plus ou moins de contrôle pour l’identification du site. Ce n’est pas non plus un truc que l’on change du jour au lendemain dans l’esprit des gens. L’erreur a peut-être été de mélanger sécurité ET identification sous le simple icône cadenas vert. Mais, encore une fois il est trop tard pour y remédier dans l’esprit des gens.







Freeben666 a écrit :



Le fait que tous les sites migrent vers des connexions sécurisées est une bonne chose. Et Let’s Encrypt est un des acteurs majeurs ayant favorisé cette implémentation de masse de TLS.







Évidemment que c’est une bonne chose, je n’ai absolument jamais dit le contraire. Ici on parle bien d’un soucis utilisateur : un indice de confiance a perdu l’un de ses sens : l’identité du serveur (plus ou moins garantie.









Freeben666 a écrit :



Et les résultats Google sont une source de confiance pour être sûr d’être sur un site légitime ?!







Non. Mais tu connais l’adresse du site par cœur ? ;) Non et la plus part de la population non plus. Évidemment que ce n’est pas une source de confiance, mais beaucoup ce sont fait avoir car il était difficile de déceler l’arnaque… une partie du problème venant de la communication elle-même des officiels de Pékin.



Tout ça pour dire que sensibiliser les gens c’est bien, mais il n’y a pas de miracles pour autant. Et là, en plus, on touche justement à l’un des éléments qui leurs permettaient de potentiellement détecter un problème.



Je suis assez d’accord.


Hmmmmm, non, ce n’est pas équivalent.



Par exemple, je peux m’auto-signer un certificat pour le domaine google.com si je le souhaite (et l’utiliser dans le cadre d’une attaque MitM). Mais à moins d’arriver à hacker les enregistrement DNS de Google, jamais une AC, pas même Let’s Encrypt, ne me délivrera le moindre certificat (en théorie; il y a eu des loupé par le passé).








CryoGen a écrit :



Ca c’est trop tard. Depuis toujours on nous bassine avec le cadenas vert… Il est bien trop tard pour faire marche arrière! Il faut donc soit en renforcer le sens, soit oublier le cadenas et passer à autre chose.

Oui on est bien d’accord, que nous les “power users”, on sait qu’un cadenas ne veut plus rien dire niveau confiance.







Tout d’abord, le cadenas n’a JAMAIS rien voulu dire niveau confiance à accorder à un site. La seule différence c’est qu’avant un certificat signé par une AC coûtait cher, ce qui n’est plus le cas (pour les certificats de base. (et bien avant LE, on avait StartCom comme AC gratuite).



Et non il n’est pas trop tard. Mais pour ça il faut sensibiliser les gens. Quand je vois les conneries racontées sur la sécurité informatique à la TV, je me dis que ça va prendre du temps par contre…









Freeben666 a écrit :



Hmmmmm, non, ce n’est pas équivalent.



Par exemple, je peux m’auto-signer un certificat pour le domaine google.com si je le souhaite (et l’utiliser dans le cadre d’une attaque MitM). Mais à moins d’arriver à hacker les enregistrement DNS de Google, jamais une AC? pas même Let’s Encrypt, ne me délivrera le moindre certificat (en théorie; il y a eu des loupé par le passé).





Hmmmmm je suis sûr à 99.9% que tu ne peux pas faire d’HTTPS sans certificat donc je ré-itère, tu fais comment pour faire du HTTP chiffré alors que tu te fiches de l’authentification de ton serveur (ou tu n’en as pas les moyens, moins un problème aujourd’hui avec Let’s Encrypt) ?









Freeben666 a écrit :



Raison pour laquelle je dis que la solution n’est pas de sortir une nouvelle échelle de couleur, qui ne serait même pas rattachée à un indicateur en rapport avec la confiance à accorder au site, mais d’éduquer correctement les gens.





&nbsp;1 : T’auras au moins tout autant de mal à faire perdre une habitude aux gens qu’à la leur faire prendre

2 : comme déjà dit, c’est loin d’être tout le temps si simple, il faut donc un cumul de bonne pratique.



La, comme aussi dit par d’autres, le mal est déjà fait. On leurs a matraqué avec une communication pendant des années et là hop, avec le même visuel, faut qu’ils comprennent que c’est plus valables (et que le msg qu’on leur à fait passé était “simpliste”).









Freeben666 a écrit :



Tout d’abord, le cadenas n’a JAMAIS rien voulu dire niveau confiance à accorder à un site.&nbsp;



CF mon msg plus haut (auquel tu as pourtant répondu) sur la com réalisée sur le cadenas pendant DESSSSSSSS Années. Donc si, à un moment on a dit au gens cadenas = confiance.









CryoGen a écrit :



De plus, je rappelle que le certificat était délivré sous plus ou moins de contrôle pour l’identification du site. Ce n’est pas non plus un truc que l’on change du jour au lendemain dans l’esprit des gens. L’erreur a peut-être été de mélanger sécurité ET identification sous le simple icône cadenas vert. Mais, encore une fois il est trop tard pour y remédier dans l’esprit des gens.





Il n’y a jamais eu de réelles vérifications que dans le cas des certificats EV (et encore…). Limite, en vérifiant que la demande est faite par quelqu’un qui contrôle réellement le domaine pour lequel le certificat est demandé, LE effectue une vérification plus poussée que certaines autres AC.



Je n’ai rien compris à ton message <img data-src=" />








CryoGen a écrit :



soit oublier le cadenas et passer à autre chose.&nbsp;



Ce serait, je pense, pas faisable car les gens se diront “pas de cadenas = pas de sécu”. s&nbsp;<img data-src=" />









ndjpoye a écrit :



CF mon msg plus haut (auquel tu as pourtant répondu) sur la com réalisée sur le cadenas pendant DESSSSSSSS Années. Donc si, à un moment on a dit au gens cadenas = confiance.





Ce n’est pas parce qu’on le disait que c’était vrai ;) (ce que je disais c’est que, dans les faits, le cadenas n’a jamais été un indicateur de confiance en un site)









ndjpoye a écrit :



Ce serait, je pense, pas faisable car les gens se diront “pas de cadenas = pas de sécu”. s <img data-src=" />







Un complément au cadenas, d’autres couleurs, etc. Il y a des solutions quand même ^^”









Freeben666 a écrit :



Ce n’est pas parce qu’on le disait que c’était vrai ;) (ce que je disais c’est que, dans les faits, le cadenas n’a jamais été un indicateur de confiance en un site)





Donc sur ce point en fait on &nbsp;a l’air d’être d’accord. Ce n’est techniquement pas un indicateur de confiance, mais ça a été l’usage “annoncé” pendant longtemps.



On valide ? :)



Bon je ne suis pas sûr de comprendre ce que tu souhaitais exprimer, mais je vais essayer de répondre quand même.



Par rapport à ton premier message, les navigateurs ont raison d’afficher un avertissement dans le cas de certificats auto-signés : un tel certificat peut être utilisé pour une attaque MitM. Donc les navigateurs affichent un avertissement. Et si c’est notre site web, on sait que c’est normal d’avoir un cert auto-signé, et on valide une exception de sécu. Rien ne t’empêche d’utiliser un tel certificat !



Les AC (autorités de certification) gratuites, telles que Let’s Encrypt ou StartCom, te fournissent des certificats signés (donc pas d’avertissement dans le navigateur), mais que si tu peux leur prouver que tu contrôles effectivement le domaine pour lequel tu demandes un certificat. Donc tu peux en demander pour ton site perso, sur ton domaine, mais pas pour le domaine de quelqu’un d’autre (donc tu ne peux pas récupérer de certificat signé pour une attaque MitM).








Freeben666 a écrit :



Je n’ai rien compris à ton message <img data-src=" />





Le chiffrement de la communication entre ton navigateur et le serveur et l’authentification de ce dernier par ton navigateur à l’aide d’une autorité de certification sont deux choses différentes. Le HTTP ne fourni aucune de ces deux solutions. Comment tu fais si tu veux le premier point mais pas le second ? Le HTTPS requiert un certificat, tu fais donc un certificat auto-signé. Mais en conséquence, les navigateurs te jettent aux ordures comme une vulgaire canaille alors que ton site est tout de même plus sécurisé qu’un simple site en HTTP…



On est d’accord sur le fait que le cadenas a été présenté au grand public comme un indicateur de confiance, alors que celui-ci n’a jamais indiqué qu’un site est de confiance.



On n’est pas d’accord sur la solution à apporter ;)


Cf ma réponse en #46








Freeben666 a écrit :



On est d’accord sur le fait que le cadenas a été présenté au grand public comme un indicateur de confiance, alors que celui-ci n’a jamais indiqué qu’un site est de confiance.



On n’est pas d’accord sur la solution à apporter ;)





Exact ;)









Freeben666 a écrit :



Tout d’abord, le cadenas n’a JAMAIS rien voulu dire niveau confiance à accorder à un site. La seule différence c’est qu’avant un certificat signé par une AC coûtait cher, ce qui n’est plus le cas (pour les certificats de base. (et bien avant LE, on avait StartCom comme AC gratuite).







Cette mauvaise fois. Le cadenas (avec le certificat derrière) augmente le niveau de confiance (je n’ai pas dit confiance aveugle). C’est un fait. Et il a été exploité comme telle de très nombreuses années, que tu le veuilles ou non.

Techniquement parlant on est bien d’accord.







Freeben666 a écrit :



Et non il n’est pas trop tard. Mais pour ça il faut sensibiliser les gens. Quand je vois les conneries racontées sur la sécurité informatique à la TV, je me dis que ça va prendre du temps par contre…





Euh, il n’est pas trop tard pour sensibiliser les gens, oui. Mais il est trop tard pour “l’icone cadenas vert miracle”.



Encore une fois, le problème n’est pas technique. Nous on sait ce qui déclenche le cadenas vert et comment on l’intègre à notre propre gestion de la confiance. Mais le problème c’est la masse et le cadenas à un rôle de feu vert depuis bien trop longtemps pour qu’on puisse y changer quoique ce soit de manière sûr. Le plus simple est de le virer (ou compléter) pour marquer une différence et pouvoir sensibiliser les gens.



Et il y a d’autres problèmes:

&nbsp;Kaspersky AV SSL interception


Let’s Encrypt fournit actuellement 18637 certificats pour des sites contenant le mot “paypal”…



https://crt.sh/?identity=paypal%25&iCAID=16418





A chacun de décider si “Let’s Encrypt” doit rester neutre ou s’il doit aider à lutter contre le phishing.








Freeben666 a écrit :



Bon je ne suis pas sûr de comprendre ce que tu souhaitais exprimer, mais je vais essayer de répondre quand même.



Par rapport à ton premier message, les navigateurs ont raison d’afficher un avertissement dans le cas de certificats auto-signés : un tel certificat peut être utilisé pour une attaque MitM. Donc les navigateurs affichent un avertissement. Et si c’est notre site web, on sait que c’est normal d’avoir un cert auto-signé, et on valide une exception de sécu. Rien ne t’empêche d’utiliser un tel certificat !



Les AC (autorités de certification) gratuites, telles que Let’s Encrypt ou StartCom, te fournissent des certificats signés (donc pas d’avertissement dans le navigateur), mais que si tu peux leur prouver que tu contrôles effectivement le domaine pour lequel tu demandes un certificat. Donc tu peux en demander pour ton site perso, sur ton domaine, mais pas pour le domaine de quelqu’un d’autre (donc tu ne peux pas récupérer de certificat signé pour une attaque MitM).





Je suis d’accord que ce n’est plus un problème de nos jours avec Let’s Encrypt (je ne fais nullement confiance à StartCom par contre…). Cependant, certains se plaignent des solutions comme Let’s Encrypt en avançant qu’elles ne font pas assez de vérifications. Mon argumentaire vient juste relever la présence d’un manque entre HTTP et HTTPS avec certificat émis par une autorité de certification, qui est selon moi à l’origine des solutions tels que Let’s Encrypt. Car l’exception de sécurité pour un certificat auto-signé pour un site web que toi seul utilise (ou ta famille/PME), pourquoi pas, mais pour un site que tu diffuses au public, c’est moyen. Et avant que Let’s Encrypt n’arrive, pour ceux ayant peu de moyens financiers (et ne faisant pas confiance à StartCom), eh beh tu n’avais aucune autre solution que de rester en HTTP et exposer les mots de passes et habitudes de navigation de tes visiteurs sur ton site, merci la page d’avertissement des navigateurs !



Désolé, je m’emporte. Mais ai-je été plus clair ?



A moins de vouloir faire quelque chose d’illégal, je ne vois pas pourquoi tu voudrais absolument refuser l’authentification qui accompagne le chiffrement pour un site public.

Pour une utilisation privée, pas de problème si le navigateur te met un warning.


Je comprend ce que tu veux dire. Juste quelques points :




  • Pourquoi ce manque de confiance en StartCom ? (tu peux générer un certificat signé par eux, sans jamais leur fournir la clé privée du certificat)

  • Pour les certificats de base, les AC “historiques” ne font pas plus de vérification que Let’s Encrypt (voire moins dans certains cas). LE n’a fait que faciliter le process, permettant d’avoir facilement et rapidement des certificats.


J’ai oublié le 3ème point:




  • les navigateurs ne pouvaient pas se permettre de ne pas afficher d’avertissement dans le cas de certificats auto-signés, du fait du risque important d’attaque MitM.








Aqua-Niki a écrit :



A moins de vouloir faire quelque chose d’illégal, je ne vois pas pourquoi tu voudrais absolument refuser l’authentification qui accompagne le chiffrement pour un site public.

Pour une utilisation privée, pas de problème si le navigateur te met un warning.





Parce que tu n’as pas les moyens ou ne fais pas confiance aux solutions à “bas-coût” mais que tu veux quand même chiffrer la communication ?

Pour StartCom, j’en ai entendu des pas très bonne à leur sujet et comme on dit : “Si c’est gratuit, c’est que vous êtes le produit”



Dans le cas de StartCom, les certificats gratuits étaient sont un produit d’appel, leur permettant de te vendre des certificats payants (genre des wild-card, certificats personnels, …).



De toute manière il n’y a aucun risque tant que tu génères ta propre clé privée et qu’ils n’y ont jamais accès ;)



EDIT: corrections


C’est sûr que le cas Symantec nous montre que c’est beaucoup plus fiable quand c’est une grosse boîte connue dans le domaine de la sécurité…








Ricard a écrit :



Tu peux très bien hacker (défacer) un site https pour y mettre une page bidon. Le certificat n’a strictement rien à voir là dedans.





Si tu te fait hacker c’est ton problème (entre guillemets).

Filer un certificat a tous le monde c’est different.



Dans le fond il y a 2 idées du certificat :&nbsp;



-Assurer la confidentialité des communications.

-Garantir l’interlocuteur



Let’s encrypt est très bien pour le premier objectif, mais ne gère pas le second.

Après des années a rabâcher que le certificat garantie les 2, let’s encrypt rend tout ca caduque.



Let’s encrypt est une très bonne initiative pour moi, mais change la vision qu’on doit avoir d’un site https.



Let’s Encrypt garanti très bien l’interlocuteur. Tu ne peux demander un certificat pour un domaine que si tu contrôles effectivement ce domaine.



Par exemple, tu ne pourras pas demander à LE un certificat signé pour le domaine google.com à moins de contrôler ce domaine.



Après, rien n’empêche d’acheter un domaine avec un nom approchant, et de demander un certificats dessus. Si les gens ne savent pas lire, c’est leur soucis.








Freeben666 a écrit :



Let’s Encrypt garanti très bien l’interlocuteur. Tu ne peux demander un certificat pour un domaine que si tu contrôles effectivement ce domaine.



Par exemple, tu ne pourras pas demander à LE un certificat signé pour le domaine google.com à moins de contrôler ce domaine.



Après, rien n’empêche d’acheter un domaine avec un nom approchant, et de demander un certificats dessus. Si les gens ne savent pas lire, c’est leur soucis.





Pour un certificat normal, et encore plus EV, il y a une procedure de validation du demandeur. Donc a la vu d’un certificat on sait qui est derriere, sur du let’s encrypt c’est pas le cas.



&nbsp;









CR_B7 a écrit :



Si tu te fait hacker c’est ton problème (entre guillemets).

Filer un certificat a tous le monde c’est different.



Dans le fond il y a 2 idées du certificat : 



-Assurer la confidentialité des communications.

-Garantir l’interlocuteur



Let’s encrypt est très bien pour le premier objectif, mais ne gère pas le second.

Après des années a rabâcher que le certificat garantie les 2, let’s encrypt rend tout ca caduque.



Let’s encrypt est une très bonne initiative pour moi, mais change la vision qu’on doit avoir d’un site https.





Ben le but d’un certificat, c’est de sécuriser le canal, et de savoir que tu es sur le site qui correspond bien à l’adresse. L’interlocuteur est bien garanti. Si tu t’es trompé, c’est ton problème (pour te paraphraser) en aucun cas la faute à Let’sEncrypt.



Pour les certificats EV il y a effectivement une vérification de l’identité de la personne (physique ou morale) qui effectue la demande.



Pour les certificats de base il n’y a pas ce genre de vérifications, quelle que soit l’AC. Il faut juste montrer qu’on contrôle le domaine.



Les certificats TLS (à part les EV), n’ont jamais été faits pour garantir que l’on est bien sur un site appartenant à telle ou telle entreprise.








Ricard a écrit :



Ben le but d’un certificat, c’est de sécuriser le canal, et de savoir que tu es sur le site qui correspond bien à l’adresse. L’interlocuteur est bien garanti. Si tu t’es trompé, c’est ton problème (pour te paraphraser) en aucun cas la faute à Let’sEncrypt.





Le problème n’est pas la, mais au fait qu’avant let’s encrypt on me garantissait de savoir a qui je parle (enfin sauf avec les certificat Symantec d’après la news).

Avec letsencrypt je sais que je parle au propriétaire du nom de domaine, mais rien ne me permet de savoir qui il est.



C’est pas un problème technique, mais un changement de philosophie du certificat.

D’ou le code couleur proposé plus tot auquel j’adhere complètement.

&nbsp;









Freeben666 a écrit :



Pour les certificats EV il y a effectivement une vérification de l’identité de la personne (physique ou morale) qui effectue la demande.



Pour les certificats de base il n’y a pas ce genre de vérifications, quelle que soit l’AC. Il faut juste montrer qu’on contrôle le domaine.



Les certificats TLS (à part les EV), n’ont jamais été faits pour garantir que l’on est bien sur un site appartenant à telle ou telle entreprise.





Pour ceux que j’ai demandé (non EV) il faut quand meme quelques pièces et un personne ‘physique’ qui se declare propriétaire.









CR_B7 a écrit :



Le problème n’est pas la, mais au fait qu’avant let’s encrypt on me garantissait de savoir a qui je parle (enfin sauf avec les certificat Symantec d’après la news).

Avec letsencrypt je sais que je parle au propriétaire du nom de domaine, mais rien ne me permet de savoir qui il est.



C’est pas un problème technique, mais un changement de philosophie du certificat.

D’ou le code couleur proposé plus tot auquel j’adhere complètement.





Si Let’s Encrypt délivre un certificat à www.gogole.com, et que je vais sur www.gogole.com, j’ai mon petit cadenas vert. Je sais que je suis sur le bon site. C’est tout ce qu’on lui demande au certificat.

Si je voulais aller sur google.com, JE me suis trompé, JE n’ai pas vérifié. C’est de MA faute, pas celle de Let’s Encrypt.









Ricard a écrit :



Si Let’s Encrypt délivre un certificat à www.gogole.com, et que je vais sur www.gogole.com, j’ai mon petit cadenas vert. Je sais que je suis sur le bon site. C’est tout ce qu’on lui demande au certificat.

Si je voulais aller sur google.com, JE me suis trompé, JE n’ai pas vérifié. C’est de MA faute, pas celle de Let’s Encrypt.





Le problème n’est pas la, on a expliqué a tous le monde qu’avant de commander ou rentrer des info il fallait verifier le cadenas.

Avec letsencrypt la mise en place de sites de fishing est industrialisable.

&nbsp;

&nbsp;









CR_B7 a écrit :



Le problème n’est pas la, on a expliqué a tous le monde qu’avant de commander ou rentrer des info il fallait verifier le cadenas.

Avec letsencrypt la mise en place de sites de fishing est industrialisable.





Parce que gratuit. Si il faut payer un certificat pour un site de fishing qui va rester en ligne deux jours, c’est pas rentable pour l’attaquant, j’ai bien conscience de ça.

Le problème, c’est que les gens ne vérifient PAS le cadenas. (ça sous-entends cliquer dessus et lire les infos)

C’est un problème d’éducation populaire. Pujadas leur à fait croire que le petit cadenas vert les mettait en sécurité, il pourrait leur dire qu’il s’est planté.

Let’s Encrypt n’a rien à voir là-dedans.

Si les autres CA faisaient des certificats gratuits, ce serait exactement pareil.



Avant de faire transiter des informations sensibles (données CB, …) sur le net, il faut effectivement vérifier la présence du petit cadenas pour s’assurer de la sécurisation de la connexion. Ce n’est juste pas la seule vérification à effectuer.


Il n’y a absolument pas eu de changement de philosophie. Les certificats de base n’ont jamais garanti l’identité de la personne ayant demandé le certificat, juste qu’elle avait le contrôle sur le domaine.



Des années avant LE, StartCom fournissait déjà des certificats gratuits avec une simple vérification du contrôle du domaine (plus faible que la vérification de LE d’ailleurs).


Peut-être que l’AC à laquelle tu achetais tes certificats effectuait plus de vérifications, mais pour des certificats de base elle n’était pas tenue de le faire.


Pour moi le point précis c’est pas le paiement, mais que letsencrypt ne me demande rien.


Comme bien d’autres autorités avant elle.

Elle te demande d’avoir le contrôle sur le domaine, c’est tout ce qu’elle est tenue de te demander (pour un certificat TLS de base).








Ricard a écrit :



Si je voulais aller sur google.com, JE me suis trompé, JE n’ai pas vérifié. C’est de MA faute, pas celle de Let’s Encrypt.







Oui, c’est toujours de la faute des victimes… <img data-src=" />









Ricard a écrit :



Si Let’s Encrypt délivre un certificat à www.gogole.com, et que je vais sur www.gogole.com, j’ai mon petit cadenas vert. Je sais que je suis sur le bon site. C’est tout ce qu’on lui demande au certificat.

Si je voulais aller sur google.com, JE me suis trompé, JE n’ai pas vérifié. C’est de MA faute, pas celle de Let’s Encrypt.





Ouai, tu dirais pas pareil si un site Rycard ou Ricart te renvoyé vers du 51&nbsp;<img data-src=" />









127.0.0.1 a écrit :



Oui, c’est toujours de la faute des victimes… <img data-src=" />





Qui clique sur le lien ? Moi ?

Ben non. Faut être responsable de ses actes. Quand tu grilles un feu rouge (de bonne foi, t’avais le soleil dans les yeux) et que tu te prends un PV, tu peux couiner autant que tu veux, ça change rien.









ndjpoye a écrit :



Ouai, tu dirais pas pareil si un site Rycard ou Ricart te renvoyé vers du 51 <img data-src=" />







<img data-src=" />Let’s Encrypt, cay vraiment de la mayrde.<img data-src=" />









Ricard a écrit :



Qui clique sur le lien ? Moi ?

Ben non. Faut être responsable de ses actes. Quand tu grilles un feu rouge (de bonne foi, t’avais le soleil dans les yeux) et que tu te prends un PV, tu peux couiner autant que tu veux, ça change rien.







Se faire piéger ca implique que quelqu’un pose un piège et que quelqu’un d’autre tombe dedans.

J’ai la faiblesse de croire que si une faute est commise, alors c’est celui qui à posé le piège qui est fautif.



Car le contraire me forcerait à croire qu’Internet est un croisement entre un MOBA et la DEFCON. <img data-src=" />









127.0.0.1 a écrit :



Se faire piéger ca implique que quelqu’un pose un piège et que quelqu’un d’autre tombe dedans.

J’ai la faiblesse de croire que si une faute est commise, alors c’est celui qui à posé le piège qui est fautif.



Car le contraire me forcerait à croire qu’Internet est un croisement entre un MOBA et la DEFCON. <img data-src=" />





Des gens se font arnaquer tous les jours grâce à mme Dioulasso, fille d’un haut fonctionnaire d’un pays africain en guerre. Si tu lui envois 100€, elle partagera sa fortune de 100.000.000$ avec toi.

Let’sEncrypt n’y est pourtant pour rien. Le crédule, si.<img data-src=" />



(malheureusement)



Que les gens soient crédules c’est une chose. Qu’ils se fassent avoir par du phishing c’en est une autre.



Pour les geeks paranos que nous sommes, il va de soi qu’on va bien vérifier le certificat d’un site avant de soumettre des infos confidentielles… En fait, non. Notre “hygiène” électronique est tellement parfaite qu’on ne s’abaisse même pas à aller lire un certificat. Oui, car nous les geeks paranos sommes arrogants.



Mais pensons a cette brave Mme Michu qui va sur google pour trouver une paire de chaussure et qui se retrouve a fournir ses coordonnées bancaires à https://amazon.secure.com , en toute sécurité car il y a le cadenas vert et que c’est bien marqué “amazon” dans l’url (comme lui a dit son petit neveu)…



Peut-on vraiment lui en vouloir de ne pas comprendre pourquoi la hiérarchie du nom de domaine est de droite à gauche( amazon est un sous-domaine de secure.com), alors que la hiérarchie des ressources de gauche à droite (system32 est un sous-dossier de C:\windows) ?


C’est marrant comme exemple, sauf qu’il faut plutôt imaginer qu’il y a un feu vert qui masque un sens interdit.








127.0.0.1 a écrit :



Que les gens soient crédules c’est une chose. Qu’ils se fassent avoir par du phishing c’en est une autre.



Pour les geeks paranos que nous sommes, il va de soi qu’on va bien vérifier le certificat d’un site avant de soumettre des infos confidentielles… En fait, non. Notre “hygiène” électronique est tellement parfaite qu’on ne s’abaisse même pas à aller lire un certificat. Oui, car nous les geeks paranos sommes arrogants.



Mais pensons a cette brave Mme Michu qui va sur google pour trouver une paire de chaussure et qui se retrouve a fournir ses coordonnées bancaires à https://amazon.secure.com , en toute sécurité car il y a le cadenas vert et que c’est bien marqué “amazon” dans l’url (comme lui a dit son petit neveu)…



Peut-on vraiment lui en vouloir de ne pas comprendre pourquoi la hiérarchie du nom de domaine est de droite à gauche( amazon est un sous-domaine de secure.com), alors que la hiérarchie des ressources de gauche à droite (system32 est un sous-dossier de C:\windows) ?





Ha non, on peut pas lui en vouloir à mme Michu, c’est clair. C’est pas pour ça que c’est la faute à Let’sEncrypt pour autant.



On en revient à savoir si Let’sEncrypt doit être neutre car sa mission est de chiffrer les échanges, ou s’il doit vérifier un minimum les noms de domaine car sa mission est de sécuriser les échanges.








127.0.0.1 a écrit :



On en revient à savoir si Let’sEncrypt doit être neutre car sa mission est de chiffrer les échanges, ou s’il doit vérifier un minimum les noms de domaine car sa mission est de sécuriser les échanges.





L.E chiffre et sécurise les échanges. Personne ne pourra lire le numéro de CB de la victime.<img data-src=" />



Tu es faible&nbsp;<img data-src=" />








ndjpoye a écrit :



Tu es faible <img data-src=" />







J’avoue.<img data-src=" />



Une idée ? faire payer très cher le certificat mais rembourser si le site est OK 30 jours plus tard


Soit retourner à la situation d’avant.



Let’s Encrypt, ça a été fait pour généraliser les échanges dit sécurisés, pas pour permettre à Cdiscount d’avoir un certif gratos à la place de payer 30 000€ à l’année. Prix dans lequel sont compris justement l’authentification de celui à qui le certificat est accordé et disposant d’assurances sur les transactions.



Si tu mets un ticket d’entrée “très cher”, tu reviendras exactement à la même situation : quel service associatif, personnel, etc, aura envie/les moyens de claquer ne serait-ce que 1000€ juste pour prouver qu’on est “clean” ?

De plus, quels seront les critères pour dire que le site est OK, qui décide ?



J’aimerais éviter de revenir à l’auto signé pour mon cloud personnel, ne serait-ce que pour les messages anxiogènes de merde des navigateurs et, pire encore, les applications qui l’interdisent.


Non le plus simple et le moins contraignant pour tout le monde est juste de modifier le cadena pour les certificats non EV.



Comme ça tout le monde est content :




  • Toujours possible d’utiliser des certificats gratuit mais reconnu comme Let’s Encrypt (confort utilisateur et petite entreprise / particulier)

  • Mise en avant des certificats “EV” (bon pour les banques, indice contre le scam/pishing etc.)