Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Let’s Encrypt lance ACMEv2 et les certificats wildcard

Let's Encrypt lance ACMEv2 et les certificats wildcard

Le 15 mars 2018 à 07h53

Le service, qui permet de disposer de certificats de chiffrement gratuits pour favoriser l'extension de l'accès sécurisé aux sites (HTTPS), vient de passer une grande étape.

En effet, le protocole ACME, au cœur de son fonctionnement, passe en v2, Plusieurs améliorations sont présentes, dont le support des certificats wildcard, valables pour une infinité de sous-domaines pour un domaine donné.

De quoi faciliter la vie de certains éditeurs de sites et favoriser un peu plus l'utilisation de Let's Encrypt.

Le 15 mars 2018 à 07h53

Commentaires (26)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Partager un même certificat sur différents serveurs est une TRÈS mauvaise pratique… La clé privée fuite, ce sont tous tes serveurs qui sont compromis.

votre avatar

Wildward…. <img data-src=" />

votre avatar







Freeben666 a écrit :



Partager un même certificat sur différents serveurs est une TRÈS mauvaise pratique… La clé privée fuite, ce sont tous tes serveurs qui sont compromis.









Dans ce cas pourquoi faire des wildcard ? C’est pas l’intéret du truc justement ?

<img data-src=" />


votre avatar

Pas forcément. Tu as aussi le cas ou sur le même serveur tu héberge app1.xxx.com et app2.xxx.com et app3.xxx.com etc… et dans ce cas tu as besoin de demander à LE des certifs pour app1 app2 et app3. Sauf que le jour ou tu installes app4.xxx.com sur ce même serveur, comme tu n’as pas de wildcard, ton sous domaine n’est soit pas sécurisé soit tu dois refaire une nouvelle demande à LE.



La avec la wildcard au moins dès que tu installes ou vire un sous-domaine, ton certif reste bon.

votre avatar

<img data-src=" /> ça se tient oui

votre avatar







Icywizer a écrit :



Pas forcément. Tu as aussi le cas ou sur le même serveur tu héberge app1.xxx.com et app2.xxx.com et app3.xxx.com etc… et dans ce cas tu as besoin de demander à LE des certifs pour app1 app2 et app3. Sauf que le jour ou tu installes app4.xxx.com sur ce même serveur, comme tu n’as pas de wildcard, ton sous domaine n’est soit pas sécurisé soit tu dois refaire une nouvelle demande à LE.



La avec la wildcard au moins dès que tu installes ou vire un sous-domaine, ton certif reste bon.





Ok, mais pourquoi créer un sous-domaine plutôt qu’une arborescence du style xxx.com/app1/, xxx.com/app2/, xxx.com/app3/, etc. ?


votre avatar

Un exemple rapide (il y en a probablement d’autres).

Si un jour tu veux déplacer app1.xxx.com sur un autre serveur, une mise à jour DNS + transfert/copie du certificat SSL et c’est fait.



Si tu es xxx.com/appX, toutes tes apps ont le même point d’entrée : xxx.com. Tu es donc dépendant de ce DNS. Si il tombe, tout tes services qui sont derrières tombent en même temps.

votre avatar







MrKuja a écrit :



Je n’ai jamais compris pourquoi la partie chiffrement devait être avec à la partie “confiance”.





En gros, parce que si tu ne peux pas être raisonnablement sûr que tu parles à la bonne personne (et que tu utilises la bonne clé publique), le chiffrement ne sert pas à grand chose. Donc on couple la partie ‘preuve d’identité’ avec la partie ‘clé publique’.







Le_poilu a écrit :



Comment ça se passe pour un wildcard ? on peut généré le certificat sur un serveur, puis le récupérer et l’installer sur un autre ou faut forcément passer par un client compatible ?





Let’s encrypt ou pas, à la fin, tu te retrouves avec un fichier dont tu peux faire ce que tu veux.

En pratique, il me semble plus simple de le générer sur la machine qui l’utilisera, quitte à le faire plusieurs fois (ce n’est jamais que quelques lignes à taper).

Avec en plus l’avantage de sécurité que cite @Freeben666







Icywizer a écrit :



Pas forcément. Tu as aussi le cas ou sur le même serveur tu héberge app1.xxx.com et app2.xxx.com et app3.xxx.com etc… […] La avec la wildcard au moins dès que tu installes ou vire un sous-domaine, ton certif reste bon.





Aussi, les domaines sur lesquels les certificats sont émis sont rendus publics par la plupart des autorités (dont let’sencrypt).

Si on veut éviter de publier tous ses sous-domaines (ce qui sans être une véritable sécurité, est toujours une réduction de la surface d’attaque pour un truc perso qui n’a pas vocation à être indexé), un wildcard est préférable.

Perso c’est plus ça qui me motive que l’économie d’une simple ligne de commande par NDD.


votre avatar

C’est pas vraiment une question de DNS qui tombe. Tu peux faire de la redondance entre DNS sur un unique NDD (donc sécurité même avec toto.com/app1…), ou tu peux mettre 45 sous-domaines sur le même DNS sans redondance (donc tout tombe si le DNS tombe).



C’est une souplesse si jamais on envisage plus tard de répartir les apps sur différents serveurs (et encore, avec du reverse proxy, on peut le faire même avec le modèle toto.com/app), et c’est un aspect cosmétique (j’ai l’impression que la plupart des boites préfèrent communiquer sur app.entreprise.com que sur entreprise.com/app).

votre avatar

Ah nan c’est sûr, mais c’est pas le but du chiffrage des échanges. Ça permettra au moins pour les sites certifiés et honnêtes de ne pas être vus comme des “pirates” chinois par madame Michu parce que son navigateur lui affiche un gros message rouge “Attention, connexion dangereuse”.



L’effet pervers c’est, effectivement, que la vigilance baisse sur les sites certifiés.

votre avatar

Oui mais non, dans une entreprise tu peux avoir bu.company.com, bu2.company.com, etc.



Perso sur mon NAS, j’ai séparé ainsi les différentes fonctions (transfert de fichiers, videos, etc.)

votre avatar

Ne pas oublier que du SSL/TLS ça s’intercepte et que pour le voir (quand c’est bien fait) ça réclame d’être super vigilant.

db

votre avatar

Quand c’est gratuit c’est toi le produit faut pas l’oublier.

Il ont inventé Let’s encrypt pour pouvoir savoir ce qu’il transite sur ton site, si jamais il estime que tu fais partis d’extrémistes

Enfin bref, la news date quand même un peu personne verra mon message <img data-src=" />

votre avatar



le support des certificats wildcard



ça va pleurer chez les autorités payantes de certification. revendez vos actions…

votre avatar

Let’s encrypt est vraiment une super initiative !



Selon les dernières stats de mozilla, pas loin des 34 des pages chargées sont maintenant en protocole chiffré&nbsp;<img data-src=" />

votre avatar







Obidoub a écrit :



ça va pleurer chez les autorités payantes de certification. revendez vos actions…





Tu m’étonnes! Marre de voir des tarifs complètement abusés pour des certificats valident même pas 2ans.


votre avatar

Et même… Pour les TPE, les particuliers, les gens qui savent pas trop, ceux qu’on pas trop les moyens… c’est super. La règle c’est le site certifié maintenant, et puis ça permet réinjecter un peu plus de confiance sur le net.



C’est tout bon.

votre avatar







Kevsler a écrit :



Et même… Pour les TPE, les particuliers, les gens qui savent pas trop, ceux qu’on pas trop les moyens… c’est super. La règle c’est le site certifié maintenant, et puis ça permet réinjecter un peu plus de confiance sur le net.



&nbsp;Le soucis et cela existait bien avant Let’sEncrypt : un malandrin peut très bien faire un site d’arnaque avec un certificat SSL… donc la confiance ne doit pas se baser uniquement sur la présence de certificat.


votre avatar

Quand je vois les navigateurs mettre de plus en plus le HTTP de côté et considérer HTTPS comme la norme, je me dis, heureusement que Let’s Encrypt existe… autrement beaucoup de sites seraient menacés (même si le fait que Let’s Encrypt existe est sûrement la raison pour laquelle les navigateurs ont tout accéléré depuis 2 ans ^^)



Autrement, bien entendu c’est une excellente nouvelle, c’était selon moi la seule chose qui manquait à Let’s Encrypt. Pour le coup on peut vraiment les remercier car sans eux le web ne serait pas le même <img data-src=" />



Pour autant, je ne pense pas non plus que cela sonne le glas des autorités payantes, il faut toujours passer par elles pour obtenir un certificat plus “sûr” (du type : nom de la société affiché dans la barre d’URL), car cela requiert une vérification un peu plus poussée qu’un simple challenge avec l’API ACME. C’est donc toujours utile pour les entreprises (qui ont sûrement aussi besoin d’un support commercial à côté)

votre avatar







megatom a écrit :



Tu m’étonnes! Marre de voir des tarifs complètement abusés pour des certificats valident même pas 2ans.







Elles auront toujours de quoi faire du beurre avec les certifs EV


votre avatar

Je n’ai jamais compris pourquoi la partie chiffrement devait être avec à la partie “confiance”.

À part pour racketter en masse…

Let’s Encrypt a fait beaucoup de bien pour le web depuis son apparition, heureusement qu’on a ce genre d’initiative.



Le wildcard était vraiment LE gros manque de la plateforme, gérer les sous domaines de manière automatisée c’était vraiment compliqué !

votre avatar

C’est exactement la question que je me posais : le certificat SSL est facilement accessible (et c’est tant mieux), donc également pour les concepteurs de sites malveillants.



&nbsp;Y-a-t-il un mécanisme qui permet de s’en prémunir ? Du genre révoquer les certificats des sites considérés comme frauduleux ?

&nbsp;

votre avatar

“révoquer les certificats des sites considérés comme frauduleux ?”&nbsp;

&nbsp;Surtout pas. La seule chose qu’un certificat HTTPS est censée garantir (hors validation étendue), c’est que ta connexion est bien chiffrée sans man-in-the-middle entre le client et le serveur correspondant au nom de domaine. Les autorités de certification n’ont pas vocation à faire la police, d’autant plus que, avec les initiatives de Google et dans une moindre mesure de Mozilla, le certificat HTTPS va bientôt devenir indispensable pour mettre un site en ligne.

votre avatar







The Blue Oyster a écrit :



&nbsp;Y-a-t-il un mécanisme qui permet de s’en prémunir ? Du genre révoquer les certificats des sites considérés comme frauduleux ?&nbsp;



Je pense que Let’s Encrypt doit avoir une blacklist de site malveillant.



Et comme toujours, un site peut être considéré comme malveillant pour certains et pas pour d’autres, en fonction des lois des différents pays…



&nbsp;Les autorités de certif payantes ont déjà fait de la merde (coucou Symantec & StartSSL) et/ou se sont faites piratées… avec des faux / vrai certif de Google ou Microsoft


votre avatar

Je suis un peu novice sur l’usage de Letsencrypt.

Si j’ai bien suivi il faut un client sur le serveur qui va faire la validation du certificat avec le serveur de Letsencrypt, genre un Certbot sur Gnu/linux (Debian 89 dans mon cas).



Comment ça se passe pour un wildcard ? on peut généré le certificat sur un serveur, puis le récupérer et l’installer sur un autre ou faut forcément passer par un client compatible ?

J’ai par ex le cas là d’un serveur web debian/apache et d’un serveur exchange 2016 / sur win 2012 R2, actuellement j’ai un certificat pour chaque sous-domaine (dont celui pour exchange qui nous coûte une blinde à chaque fois).

Si je peux générer un certificat wildcard depuis l’un des serveur et l’appliquer à tous les autres ce serait un sacré progrès :)

votre avatar

Le but d’un certificat SSL de base c’est uniquement de permettre une connexion sécurisé. Ce n’est pas parce qu’il y a un petit cadenas vert que le site est de confiance.



Pour ça il y a les certificats EV (que ne propose pas LE, et sur lesquels les autorités de certif vont pouvoir continuer à se faire du beurre). EV pour Extended Validation, l’autorité est censée avoir vérifié pas mal de choses avant de délivrer ce genre de certificats. Avec ce type de certifs généralement ton navigateur t’affiche le nom de la boite détenant le certificat, dans un cadre vert à côté du cadenas TLS.

Let’s Encrypt lance ACMEv2 et les certificats wildcard

Fermer