Let’s Encrypt renforce sa sécurité et passe à la validation de domaine « multi-perspective »

Le 20 février 2020 à 09h26

1 min

Internet

Let’s Encrypt est une autorité de certification permettant la création et l'installation d'un certificat SSL/TLS gratuit sur un serveur. Pour cela, il faut évidemment prouver que la demande émane bien de son propriétaire, une étape baptisée « domain validation » dont les détails sont expliqués ici.

Jusqu’à présent, Let’s Encrypt ne réalisait cette étape que depuis ses propres serveurs. Il existe néanmoins un problème potentiel avec ce processus : un attaquant pourrait détourner ou rediriger le trafic réseau entre les deux serveurs.

Pour limiter les risques, l’autorité passe désormais par une validation de domaine « multi-perspective ». Pour simplifier, en plus des serveurs de Let’s Encrypt, d’autres machines lancent la même étape de vérification depuis des lieux différents.

« Aujourd'hui, nous validons à partir de plusieurs régions au sein d'un même fournisseur de cloud. Nous prévoyons de diversifier les perspectives du réseau vers d'autres fournisseurs de cloud à l'avenir », explique Let’s Encrypt.

Sébastien Gavois

Le 20 février 2020 à 09h26

Commentaires (7)

Abonnez-vous pour prendre part au débat

Déjà abonné ? Se connecter

Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.

Accédez en illimité aux articles

Profitez d’un média expert et unique

Intégrez la communauté et prenez part aux débats

Partagez des articles premium à vos contacts

Abonnez-vous

Qruby

Le 20/02/2020 à 11h23

Il faut prévoir des choses à modifier dans nos configurations ?

FlamingFlowair

Le 20/02/2020 à 13h52

Normalement non, a moins que tu tournes derrière un firewall qui n’autorise que certains clients à se connecter, basés sur les ips des serveurs de letsencrypt :p

Qruby

Le 20/02/2020 à 14h45

FlamingFlowair a écrit :

Normalement non, a moins que tu tournes derrière un firewall qui n’autorise que certains clients à se connecter, basés sur les ips des serveurs de letsencrypt :p

Hum, genre du GeoBlocking ^^‘?

Norde

Le 20/02/2020 à 15h08

Quel pied ce let’s encrypt quand même " />" />

brazomyna

Le 20/02/2020 à 16h03

Qruby a écrit :

Il faut prévoir des choses à modifier dans nos configurations ?

à priori ce sera totalement transparent ; ce sont juste les serveurs de letsencrypt qui contactent ton serveur qui ne seront plus tous issus du même pool de serveur du cloud qu’ils utilisent à l’heure actuelle.

zeguigui

Le 24/02/2020 à 12h47

Let’s encrypt envoie des mails si l’un des certificats ne passe pas en multi-perspective et on a jusqu’au 1er juin pour régler le problème (j’ai reçu un de ces mails mais de mémoire c’est pour un sous-domaine abandonné !)

FlamingFlowair

Le 24/02/2020 à 14h25

Bon a savoir, bonne communication de let’s encrypt, tout comme pour le ACME v1

Catégories

Nous Suivre

À propos

Let’s Encrypt renforce sa sécurité et passe à la validation de domaine « multi-perspective »

Commentaires (7)