Let’s Encrypt renforce sa sécurité et passe à la validation de domaine « multi-perspective »
Le 20 février 2020 à 09h26
1 min
Internet
Let’s Encrypt est une autorité de certification permettant la création et l'installation d'un certificat SSL/TLS gratuit sur un serveur. Pour cela, il faut évidemment prouver que la demande émane bien de son propriétaire, une étape baptisée « domain validation » dont les détails sont expliqués ici.
Jusqu’à présent, Let’s Encrypt ne réalisait cette étape que depuis ses propres serveurs. Il existe néanmoins un problème potentiel avec ce processus : un attaquant pourrait détourner ou rediriger le trafic réseau entre les deux serveurs.
Pour limiter les risques, l’autorité passe désormais par une validation de domaine « multi-perspective ». Pour simplifier, en plus des serveurs de Let’s Encrypt, d’autres machines lancent la même étape de vérification depuis des lieux différents.
« Aujourd'hui, nous validons à partir de plusieurs régions au sein d'un même fournisseur de cloud. Nous prévoyons de diversifier les perspectives du réseau vers d'autres fournisseurs de cloud à l'avenir », explique Let’s Encrypt.
Le 20 février 2020 à 09h26
Commentaires (9)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 20/02/2020 à 11h23
#1
Il faut prévoir des choses à modifier dans nos configurations ?
Le 20/02/2020 à 13h52
#2
Normalement non, a moins que tu tournes derrière un firewall qui n’autorise que certains clients à se connecter, basés sur les ips des serveurs de letsencrypt :p
Le 20/02/2020 à 14h45
#3
Le 20/02/2020 à 15h08
#4
Quel pied ce let’s encrypt quand même " />" />
Le 20/02/2020 à 16h03
#5
Le 24/02/2020 à 12h47
#6
Let’s encrypt envoie des mails si l’un des certificats ne passe pas en multi-perspective et on a jusqu’au 1er juin pour régler le problème (j’ai reçu un de ces mails mais de mémoire c’est pour un sous-domaine abandonné !)
Le 24/02/2020 à 14h25
#7
Bon a savoir, bonne communication de let’s encrypt, tout comme pour le ACME v1