Le certificat racine de Let’s Encrypt sera reconnu par Firefox dès la version 50
Une avancée majeure
Firefox 50 sera la première version du navigateur à reconnaître le certificat racine de Let's Encrypt. Une étape importante pour l'autorité de certification qui, maintenant que son modèle est établit, doit assurer son indépendance.
Let's Encrypt vient de franchir une nouvelle étape, de taille : son certificat racine (ISRG Root X1) va être reconu par Firefox. Comme nous l'évoquions lors de notre point d'étape sur le HTTPS pour tous en février dernier, l'autorité de certification n'était en effet acceptée au sein des navigateurs qu'à travers Identrust.
Sponsor « Gold » du projet, la société avait en effet signé les certificats intermédiaires de Let's Encrypt, lui ouvrant ainsi automatiquement les portes des navigateurs. Un élément qui avait freiné d'autres initiatives du genre par le passé, notamment CACERT.
Un audit était en cours auprès de Mozilla. Son résultat vient d'être publié et l'annonce est tombée : Firefox 50 sera la première version du navigateur à reconnaître le certificat racine de Let's Encrypt, qui pourra alors signer les certificats intermédiaires qui émettent ceux utilisés par les sites. Cette version est attendue pour la fin de l'année.
L'autorité de certification, qui s'est donnée pour mission de proposer des certificats gratuits afin de favoriser l'adoption de HTTPS sur les sites et au sein de nombreux services, a néanmoins encore du chemin à faire pour assurer son indépendance.
Car outre Mozilla, il reste de nombreuses sociétés à convaincre avant de pouvoir se passer du partenariat avec Identrust. L'équipe précise néanmoins que des procédures sont déjà en cours, notamment auprès d'Apple, BlackBerry, Google, Microsoft et Oracle.
Commentaires (19)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 06/08/2016 à 14h16
Mozilla n’était pas à l’origine du projet ? Ou du moins un contributeur important ?
Le 06/08/2016 à 15h50
favoriser l’adoption de HTTPS sur les sites et au sein de nombreux services
Je pense qu’il aurait été plus pertinent de dire “favoriser l’utilisation de protocoles en mode sécurisé”. Si effectivement le HTTP est l’un des plus répandus, personnellement je l’utilise aussi pour mon serveur mail perso et VPN.
Après, il est toujours bon de rappeler qu’il ne faut pas se baser aveuglément sur le Sacro Saint Cadenas pour se considérer comme “sécurisé”. En cas d’intermédiaire foireux dans la chaîne, c’est toute celle-ci qui se pète la gueule.
Le 06/08/2016 à 15h51
Fondateurs : EFF, Mozilla, U-M
Donc oui, mais le projet est devenu en parti indépendant il me semble. En tout cas, il y a tellement de gros soutiens que ça serait étonnant que ça foire.
Le 06/08/2016 à 20h59
Le 07/08/2016 à 09h12
J’ai testé le script Lets’encrypt sur le syno. Il me demande d’entrer le nom de domaine ( le subject name) du certificat que je souhaite générer. Il y’a un mécanisme qui m’empêche de générer un www.google.com ?
Le 07/08/2016 à 09h30
Le 07/08/2016 à 09h36
Oui, il y a un test qui vérifie que tu lance le script depuis la machine vers laquelle pointe www.google.com.
Le 07/08/2016 à 09h56
sur IIS, il cree un fichier local que les serveurs letsencrypt recuperent via http et le nom de domaine donné donc dificile aire ce que tu decrit
Le 07/08/2016 à 11h45
Mozilla
" />
" />
google et M$
Le 07/08/2016 à 13h46
Le 07/08/2016 à 14h08
C’est le serveur de Let’s Encrypt qui valide ta requête de certificat en se connectant au domaine que tu veux “certifier” puisqu’il essaie de récupérer un challenge directement sur le domaine en question justement pour verifier que tu es le propriétaire du domaine. Donc si tu essayes de générer un certificat sur Google.com il faudrait que tu arrives à rendre accessible un fichier qui contient ton challenge sur les serveurs de Google.
Autant dire que sans pirater les DNS utilisé par Lets Encrypt, ça risque d’être difficile.
Le 07/08/2016 à 15h47
Ah oui la ca me paraît pas mal :)
Le 07/08/2016 à 19h09
Pour lutter contre l’espionnage de masse et protéger les mots de passe (souvent les mêmes pour tous les sites), TLS sur HTTPS c’est un très utile.
Le 08/08/2016 à 07h58
De plus, HTTP2 nécessite TLS sur les principaux navigateurs (si ce n’est tous), et dans pas mal de cas ça améliore les performances.
Le 08/08/2016 à 08h33
C’est d’ailleurs, AMHA, la raison principale pour laquelle tu ne peux pas avoir de wildcard dans ton certificat
Le 08/08/2016 à 15h26
TLS n’était pas nécessaire dans Http/2. C’est une volonté politique (dans le sens action sur la vie de la cité) de Mozilla et de Google qui l’on amené rendre Htpp/2 uniquement en TLS.
Le 06/08/2016 à 13h25
Qui c’est qui a laisser des lignes de debug sur la version mobile du site ?
" />
Next INpact
J’ai un lien “test” à la fin des sous titre quand je suis sur la page d’un article
Le lien pointe vers :
Le 06/08/2016 à 13h35
C’est pas moi. ;-)
Le 06/08/2016 à 14h07
Aux RMLL Sécurité 2016 on a pu voir un des créateurs de Let’s Encrypt décrire la cérémonie de signature des certificats racine, c’est vraiment très impressionnant.
Une de leurs assomptions est que la NSA pourrait tenter de mettre de gros moyens pour connaître leur clef privée, et ils se protègent en conséquence.