Let's Encrypt : voit et décide de tout

#1

… est-ce bien raisonnable ?

Alors entre ça et une CA auto-signé … la question me turlupine !

#2

Passe à Dane … Ou plutôt milite pour que Dane devienne un standard dans le web.
https://tools.ietf.org/html/rfc6698

Avec ça plus besoin d’autorités de certifications… Tu valides le certificat en faisant une vérification sur le DNS. Ce qui demande pour être contourné de gérer entièrement l’environnement de l’utilisateur.

En plus si on avait des PKI distribuées pour la signature des certificats TLS, c’est terminé, là ça devient impossible de falsifier quoique ce soit. (par contre j’ai pas trouver de lien probant : sauf ça mais c’est pas technique : https://blog.spyou.org/wordpress-mu/2013/05/23/consultation-sur-lidentite-numerique/ )

J’en profite pour recommander CHAUDEMENT la lecture du blog de Spyou : https://blog.spyou.org

D’ailleurs il fait parti si ce n’est d’un chatons, d’un FAI associatif régional appartenant à la fédération FDN.

D’ailleurs si jamais il passe sur Sainté, il a sa bière qui l’attend :slight_smile:

#3

Salut @ledufakademy
Pourrais-tu être plus explicite ?

Bien Librement

#4

Let’s encrypt est une CA (Autorité de certification).
Donc elle est garante des certficats qu’elle nous génére “gracieusement et gratuitement”.
Si elle tombe (ou est corrompue) nos certificats ne valent plus rien, on est rejeté par les navigateurs etc etc.
Comme tout autre CA d’ailleurs.

Alors comme je sais que c’est la principale CA qu ifournit pas mal d’herbgeurs modestes, voir des privés je me pose forcément la question de son impartialité, fiabilité, perenité …!

En septembre 2016, plus de 10 millions de certificats ont été délivrés
En février 2017, Let’s encrypt était utilisé par 13,70% du total des domaines français enregistrés
En avril 2018, Let’s encrypt fournit 51,21 % des certificats SSL: ouchhhhh !
==> la cette boite devient donc une cible. Et ce qu’on croit chiffré ne l’est plus forcement.

Let’s Encrypt est un service fourni par l’Internet Security Research Group (ISRG). Les sponsors principaux sont l’Electronic Frontier Foundation (EFF), la Fondation Mozilla, Akamai, Cisco Systems , PlanetHoster et OVH. D’autres partenaires, tels que l’autorité de certification IdenTrust, l’Université du Michigan (U-M), la Stanford Law School, la Fondation Linux, l’entreprise Free10, ainsi que Stephen Kent de Raytheon / BBN Technologies et Alex Polvi de CoreOS sont également impliqués dans le projet.

Du beau linge pas toujours trés dénué d’intérêts …
Alors pour les défenseurs de la neutralité du web avoir recours à : Internet Security Research Group …boite US soumis au patriot act : je dis lol.(je suis dans ce cas)

https://en.wikipedia.org/wiki/Public-benefit_corporation#California (ce qu’est let’s encrypt)

#5

Et tu crois que vu le fric en jeu sur les certficats … les lobbies vont laisser cette techno devenir le standard pour le web ?

#6

Le trafic sera toujours chiffré. Si le débat se pose entre letsencrypt et un certif autosigné, c’est strictement identique puisque tu ne transmet aucunement ta clé privée à letsencrypt (pas plus qu’à n’importe quelle autre autorité de certification).

Le seul risque avec la centralisation que pose letsencrypt, c’est que la confiance dans l’autorité en question tombe et que les éditeurs de navigateurs n’embarquent plus son certificat racine … auquel cas, ton certificat se retrouve dans l’exacte situation d’un certificat autosigné.

Une autre alternative serait de bosser avec Mozilla, Google (!) et les 2/3 autres éditeurs pour monter d’autres autorités de certification automatisée … Mais c’est un boulot plus administratif et politique que technique (monter un petit CA, c’est à peu de choses près 1 journée de taff … pour en faire un gros, hors investissement hardware, c’est à peine plus long)

Le RFC sur Dane semble intéressant, mais je n’ai pas eu le temps de le lire.

Par contre, j’ai bien lu la bière qui m’attends ^^

#7

je viens de voir un truc assez dingue : (je suis peut etre naif)
Si on change la date d’horloge de plein d’odinateur qui se connectent sur un site (avec certficat valide) … et bien d’un coup le certificat let’s encrypt devient caduque … cela doit faire mal une attaque sur les ntp !
Certificatement parlant …

#8

1 - Donc let’s encrypt n’a pas la clef privée de notre certificats ?
2 - Si Let’s encrypt est corrompue, au profit de quiconque, pas de souci pour les détenteurs de certificats émis par eux ?

#9

Schématiquement (et en simplifiant), le principe des certificats, c’est que tu génère une clé privée (que tu garde pour toi pour chiffrer ton trafic sortant) et une clé publique (que tu exporte pour permettre à d’autres de déchiffrer ce que ta clé privée à chiffrer).

Le fait de faire signer ton certificat (par letsencrypt ou autre) consiste simplement à ce que l’autorité de certification signe ta clé publique avec sa propre clé privée, indiquant ainsi qu’elle te fait confiance.

Les navigateurs se servent ensuite de la clé publique de l’autorité de certification pour vérifier la signature de ta clé publique à toi.

Le tout ayant des bornes dans le temps pour éviter l’effet de bord malheureux de la fuite potentielle d’une clé privée (d’ou la nécessité, lorsqu’on renouvelle un certificat, de renouveler également la clé privée)

Et oui, NTP, protocole semblant sans grand intérêt, est capital au bon fonctionnement d’énormément de chose dans le réseau :slight_smile:

#10

Il faut distinguer chiffrement et authentification. Let’s encrypt sert à l’authentification pas au chiffrement. Mais du coup là où tu as raison, c’est qu’une CA corrompue peut émettre un certificat qui servira à falsifier l’authentification à un serveur.
Le trucs c’est que c’est le cas de toutes les CA que tu les utilises ou pas. Donc si tu utilises pas LE et que LE génère un certif pour ton serveur a quelqu’un d’autre ET que cette personne fait un mitm ou réussi à manipuler les DNS ou autres, et ben potentiellement tes utilisateurs ne s’en rendront pas compte le cadenas sera vert.

C’est pour ça que les certificats sont critiqués, il suffit d’une CA corrompue parmi une bonne centaine pour qu’un cadena soit vert.

Note: on peut limiter les autorités pouvant générer une CA avec une règle DNS:

@ CAA 128 issue "letsencrypt.org"

Mais c’est plus pour éviter qu’une CA génère un certif pour un attaquant que pour éviter qu’une CA corrompue génère un certif…

#11

Pour l’attaque via NTP, il me semble qu’il y a des protections dans NTP sur cette question.

PLus simplement on peut avoir des pannes avec les cartes ARM qui n’ont généralement de batterie pour retenir l’heure, il faut dans ce cas utiliser fake-hwclock et idéalement utiliser une requête http pour obetnir l’heure si jamais ntp est bloqué sur le réseau. On a eu pas mal de soucis avec la brique internet sur ce sujet, car le même problème existe pour monter un VPN.

#12

pour le premier paragraphe ok, je savais.

le deuxième mieux :wink: , donc LE ne dispose pas de ma clef privée (qui serait donc générée par certbot localement sur mon serveur interne qui fait les demandes LE), mais uniquement de la clef publique de cette clef privée que j’ai en interne ? … et donc signe cette clef publique ? c’est ca ?

#13

Let’s encrypt sert à l’authentification pas au chiffrement

Heu non, TLS c’est 4 fonctions :

  • Authentification
  • Intégrité
  • Chiffrement
  • Unicité

T’as pas l’un sans les 3 autres, sinon c’est plus du TLS :stuck_out_tongue:

#14

Il y a une différence entre TLS et Let’s Encrypt, TLS c’est le protocole qui fait les 4 choses dont tu parles à l’aide la norme x509 et de ciphers, Let’s Encrypt c’est une Autorité de certification (CA) qui sert dans le cadre de x509.
On pourrait d’ailleurs imaginer utiliser x509 dans un autres cadre que TLS (peut être par exemple que SSH peut fonctionner avec une CA x509 ?).

L’objectif d’une CA c’est d’authentifier (en tout cas, c’est pas elle qui fait le chiffrement comme l’explique Spyou). Mais je te rejoins sur le fait que faire du TLS sans aucun mécanisme d’authentification c’est pas viable. Ceci dit avec ssh on a un mécanisme simple qui part du principe que la première authentification n’est pas vérifiée mais les suivantes le seront à l’aide de l’empreinte de la première fois, ce qui a quand même un intérêt. Logiquement un bon adminsys est censé faire une vérification manuelle à l’aide de la fingerprint , mais tous les fournisseurs de VPS ne propose pas l’affichage/transmission de cette fingerprint… Et de toute façon cette transmission pose aussi potentiellement problème.

Effectivement LE ne dispose pas de la clé privée, et c’est logiquement le cas pour les autres CA aussi. Le mécanisme:

  • tu génères un couple clé privée/clé publique
  • avec la clé publique tu génères une requête CSR qui est envoyé à la CA
  • la CA vérifie que c’est légitime (par divers moyens qui sont automatisés dans le cas des ACME challenge, mais ça peut être des documents administratifs (lettre d’avocat, paiement cb, carte d’identité…) pour un certificat EV, en fait ça dépend de la CA)
  • si c’est bon elle t’envoie une signature de ta clé publique faite à l’aide d’une de leur clé privée intermédiaire.

Les navigateurs ayant les clés publiques des CA ils peuvent ainsi vérifier l’authenticité du certificat, précisément ils font confiance à l’étape de vérification de légitimité opéré par les CA. Il s’agit donc bien d’un mécanisme d’authentification qui repose sur la confiance dans une centaines d’entités.

Tu as raisons sur le fait que la NSA ou la DGSE ont probablement un moyen de générer des certifs issus d’une de ces CA (enfin ça serait pas étonnant) à moins bien sûr qu’ils misent simplement sur les moyens de péter autrement les serveurs ou le chiffrement (backdoor / faille 0day / machine quantique???).

#15

je sais qu’un ordinateur quantique (ils existent ben ouaih ) est un champion sur les nombres premiers (entre autre) … donc oui, pour moi, ayant bossé ou il fallait : ils pètent déjà tout, le reste c du business et la politique de la peur.
Qui fout la trouille aux dsi.
Un indice, “quand j’exerçais”, m’a sauté au yeux :

#16

Je croyais que sur le quantique “publique” (au sens de l’inverse du top secret) la puissance processeur en qbit pour péter les chiffrement classiques n’est pas encore suffisante. Je suis peut être pas à jour…
Je doute pas que les programmes quantiques pour le faire soient déjà prêts, mais à mon sens les technos dont on parle n’existe peut être pas encore.

Bon et puis honnêtement, moi je fais pas un CHATONS en espérant qu’il résiste à une attaque ciblée de la NSA… Si déjà il se fait pas pourrir par des programmes automatiques de bases je suis content :slight_smile:

#17

Quand un état te dit " on vous conseille de chiffrer / crypter vos comm. meme à titre particulier " avec ce que tu trouves sur le marché … pour moi cela sous-entend : “allez y mes cocos , nous on peut lire vos comm. avec nos moyens.”
J’ai bossé avec les Gendi , pour bien savoir que : le fait de faire chier les gars qui faisait du torrent ( hadopi) a poussé, à l’époque ces gens qui pirataient des films etc mais aussi et hélas le grand banditisme, dealer, pedo (etc etc) sur des trucs crypté (chiffré) : les hommes bleues gueulaient , car ils devaient se prendre la tronche pour voir ce qui passait sur les tuyaux … normalement en clair avant …
Aux dernières nouvelles, ils ne gueulent plus … trop, concernant nos disques cryptés avec luks etc … ce qui veut dire ?
lol.

oui pour un chatons on s’en fout, clairement même : mais quelle énergie nous perdons pour : rien !!!