Let’s Encrypt : le chiffrement à la portée de tous
Le système Let’s Encrypt vient d’être lancé en version bêta publique. Une idée qui ouvre le chiffrement facile et gratuit.
C’est le site Data Security Breach France qui a été le premier à en parler. Une autorité de certification de sécurité gratuite, basée aux États-Unis, vient de rendre disponible dans le monde entier son système baptisé Let’s Encrypt.
Let’s Encrypt est le premier certificat de sécurité gratuit. Une idée particulièrement excitante. Ce projet permettra d’augmenter sensiblement la sécurité dans le monde entier en activant le chiffrement où il n’y en avait pas auparavant. « Le fait que leurs certificats soient libres remodèle l’industrie de certification » confirme à zataz.com Ivan Ristic, Directeur de recherche pour les applications de sécurité chez Qualys.
Un tel projet qui risque d’inciter, et c’est tant mieux, les autorités de certification commerciales à suivre ce mouvement en offrant également des certificats gratuits. Les principaux progrès viendront de l’automatisation et du fait que le chiffrement deviendra intégré au tissu de notre infrastructure Internet.
Indépendamment, il devient enfin possible d’avoir des sites qui comptent sur l’hébergement virtuel sécurisé (également connu sous SNI, une fonction qui ne nécessite pas qu’une adresse IP distincte soit utilisée pour chaque site chiffré).
Combiné avec des certificats gratuits et automatiques, nous avons maintenant tout ce qu’il faut pour avoir du chiffrement partout et pour toutes les communications.
Mise à jour 10/03/2016 –
Selon certains experts, les certificats SSL délivrés gratuitement ne sécurisent ni vos clés ni vos certificats ! Un million de certificats SSL gratuits déjà distribués par Let’s Encrypt. Quelques mois après le lancement effectif de ce projet qui a démarré à la mi-Septembre 2015, Let’s Encrypt vient de franchir la barre symbolique du million de certificats SSL pour un hébergement en mode HTTPS distribués gratuitement à travers le monde.
La multiplication des émissions de certificats gratuits affaiblit la sécurité d’Internet. L’intensification des compromissions de clés et de certificats va inciter les individus malveillants à se faufiler dans les angles morts créés par des flux soigneusement chiffrés. Objectif de ces individus : masquer leurs attaques.
Kevin Bocek – VP Threat Intelligence and Security Strategy de chez Venafy (son entreprise commercialise des certifcats) a déclaré : « Kudos to the Let’s Encrypt initiative for already issuing a million free certificates. This is a great thing—more SSL/TLS protects data and privacy. But more certificates, and especially those that are not continuously monitored and secured from misuse will certainly create more criminal interest and activity.
The use of digital certificates to appear trusted and hide inside in encrypted traffic is fast becoming the default for cyber attackers — which almost counteracts the whole purpose of adding more encryption and trying to create a more trustworthy Internet with free certificates. In fact, we’ve already seen free certificates misused by bad guys, including a recent malvertising campaign that used certificates issued from Let’s Encrypt. Cyber criminals will increasingly misuse keys and abuse certificate trust to bypass security controls.
It’s becoming more difficult to know what to trust, and the increased use of encryption is creating more blind spots for threat protection systems. The risks are very real when certificates are misused, including allowing bad guys to hide in encrypted traffic to transmit malware or steal data, eavesdrop on “secure” communications using a man-in-the-middle (MitM) attacks, spoof websites for phishing attacks, and distribute malware that is signed using a seemingly legitimate certificate.
The value of a certificate will not be in its issuance cost, but will be based on the value and reputation of the issuing CA and in the certificate’s purpose. To maintain that value, organizations must ensure the integrity and security of its certificates. ».