Let's Encrypt est-il en train de passer de sauveur à single point of failure (SPOF) ?

Vers un FramaTLS ? 56
Accès libre
image dediée
Web EDITO
David Legrand

Let's Encrypt continue de gagner en puissance et serait à l'origine de la moitié des certificats gérant les connexions chiffrées des sites que nous visitons chaque jour. Une évolution bienvenue et fulgurante, qui soulève néanmoins la question de la dépendance du web à cette autorité.

Ces dernières années, l'un des combats des acteurs du Net a été la généralisation de l'accès sécurisé aux sites (HTTPS). De quoi fiabiliser les échanges en ligne, mais aussi limiter la surveillance et l'interception des requêtes. Des éléments importants, notamment pour des pratiques comme la connexion à un site, l'échange de messages, etc.

Deux des principaux points de blocage étaient le coût et la difficulté de mise en place des certificats SSL/TLS, surtout pour les petits sites, associations ou particuliers. Les navigateurs pouvaient donc difficilement prendre des sanctions contre ceux n'ayant pas encore sauté le pas.

Ces dernières années, plusieurs initiatives sont nées pour tenter de réduire cette problématique, sans trop de succès. Jusqu'à Let's Encrypt qui a rapidement changé la donne.

HTTPS pour tous... 

Fin 2014, l'Internet Security Research Group (ISRG) a été créé afin d'apporter une solution pérenne, connue sous le petit nom de Let's Encrypt. Regroupant l'EFF, Mozilla, Akamai, Cisco et bien d'autres acteurs, cette alliance voulait proposer des certificats gratuits, pour tous, simples à générer et à installer.

L'opération a demandé un peu plus d'un an avant que les premiers effets se ressentent et que les grands hébergeurs proposent une telle solution, notamment en France. Mais depuis, l'initiative est bien lancée. Gandi a proposé Let's Encrypt en janvier 2016, peu après Infomaniak. Des acteurs comme SynologyFree ou Wordpress ont suivi.

Courant 2016, le projet a gagné en maturité avec un changement de nom du client de l'EFF, le support de l'IPv6, la mise en place d'un certificat racine reconnu par Firefox, etc. Au début de l'année 2018, le protocole ACMEv2 a été publié, et les certificats wildcard (*.exemple.com) rendus disponibles, de quoi étendre encore un peu plus la portée de Let's Encrypt.

... mais de manière plus centralisée

Et au final, le but du projet a été atteint. Selon Google, la part du traffic HTTPS traité par Chrome est passé de 30/40% selon les plateformes à 70/80%. Tout ça en seulement deux ans.

Le géant du Net et les navigateurs n'y sont pas pour rien puisqu'ils n'ont pas hésité à mettre la pression aux éditeurs de sites : meilleure place dans les résultats pour ceux jouant le jeu et disposant d'un accès sécurisé, cadenas rouge et message d'alerte pour les autres.

Aujourd'hui, pas moins de 53,4 millions de certificats sont actifs, sur 25 millions de domaines. Chaque jour, environ 600 000 certificats sont créés ou renouvelés.

Selon des chiffres diffusés par NetTrack, Let's Encrypt a passé en avril la barre des 50 % des domaines gérés, parmi les presque 8 millions surveillés par le service. Comodo et Geotrust affichent un lourd recul de leur position depuis le début de l'année. C'est d'ailleurs GoDaddy qui occupe désormais la troisième place du classement.

Let's Encrypt SPOF Statistiques

Ainsi, commence à se poser la question de la dépendance de l'infrastructure du web à Let's Encrypt. Gérant une majorité des certificats utilisés, souvent de manière spécifique et automatisée, il devient un élément central d'une taille critique. Que se passera-t-il en cas de problème avec les services de Let's Encrypt ou d'attaque coordonnée ? 

Ceux qui en dépendent ne pourront pas facilement trouver une solution de remplacement, même chez les concurrents. La bonne santé de l'autorité est donc devenue vitale.

« Avant, on avait un problème avec les autorités de certification (CA). Maintenant, on a toujours le problème des CA, et en plus un problème avec un SPOF énorme... », commentait non sans ironie Aeris il y a quelques jours. Le spécialiste de tout ce qui touche aux certificats, travaillant chez Cozy Cloud et proposant le service CryptCheck, frappe ici assez juste.

Des alternatives pour limiter le SPOF

Il serait ainsi temps de se demander comment s'assurer collectivement qu'Internet ne dépende pas tant du bon fonctionnement d'un seul acteur, et quelles peuvent être les alternatives possibles ou solutions de repli en cas de problème. Une réflexion qui devrait être menée en premier lieu par l'EFF et l'ISRG.

Travail avec les autres CA pour l'adoption du protocole ACMEv2 ou émergence d'un « concurrent » à Let's Encrypt peuvent être des solutions à envisager. Il faut en tout cas commencer à étudier sérieusement ces pistes. Car si rien n'est fait, on pourrait un jour s'apercevoir un peu trop tard que l'analyse était juste, à l'occasion d'une panne majeure qui laissera des millions de sites et d'internautes dans la panade. 

Il faudra alors rendre des comptes, quand chacun s'étonnera de la situation, en premier lieu les États. La belle histoire de Let's Encrypt pourrait alors virer au cauchemar.


chargement
Chargement des commentaires...