Certificat SSL/TLS auto-signé reconnu immediatement par les navigateurs, messagerie.. grâce à DANE

Le marché des certificats serveurs SSL/TLS (X.509) est juteux, très rentable même , car seules quelques sociétés (Symantec/Verisign, GlobalSign, Thawte et j’en passe) se permettent le droit d’avoir par défaut  leur certificat racine de confiance quand nous installons un client web comme Mozilla Firefox, Google Chrome, Internet Explorer. C’est pour cela que lorsqu’on visite certains sites webs en HTTPS, le navigateur web alarme  comme figurée sous l’image ci-dessous:

Connexion non sécurisée

Connexion non sécurisée

Ceci pour nous dire que le certificat SSL/TLS est auto-signé et que ce certificat n’est pas reconnu par le navigateur. Mais, combien de structures privées, nationales ou internationales de ventes de certificats pourront voir leur certificat racine par défaut dans nos navigateurs web? Car le processus pour y arriver demande une technicité sans pareil et bien entendu de gros sous! C’est un modèle centralisé ou tout repose (la confiance surtout!) sur les autorités de certification racine.

Ce qui nous oblige nous, simple ingénieur devant l’Éternel, à recourir, à conditions et à tarif forcés, à l’achat chaque année d’un certificat, qui pour sécuriser un serveur web, qui pour une messagerie, etc.

Aussi, le chalenge présentement dans le domaine du web est de migrer tous les sites vers HTTP/2; pour améliorer la sécurité globale face aux multiples révélations de Edward Joseph Snowden, mais aussi pour plus de rapidité entre autres. Ce qui entrainera a n’en pas douter une forte migration vers HTTPS. Le moteur de recherche le plus adoré Google bonifie d’ailleurs d’un bon « rank » tous les sites full HTTPS et rapide d’accès.

Une initiative fort louable est d’ailleurs en train de se mettre petit-à-petit en place, pour faciliter l’accès (gratuit) aux certificats web à tous; il s’agit du projet Let’s Encrypt dont l’ouverture est prévu en septembre 2015 sauf changement de programme.

Mais, ce n’est pas la solution ultime qui sauvera nos sites webs et projets sécurisés. Car Let’s Encrypt sera certainement un projet aussi couteux que ceux des grands ténors des autorités de certification racines et intermédiaires.

Je pense et je le répète, c’est peut-être l’implémentation croissante de DANE (DNS-based Authentication of Named Entities) dans nos logiciels, qui donnera à chaque développeur le plein pouvoir.

DANE c’est un nouveau protocole moderne qui s’appuie entre autres sur le DNS et DNSSEC pour fonctionner. Autrement dit, vous aurez simplement comme on le fait déjà pour la signature des clés de nos SSH (avec SSHFP), à ajouter l’enregistrement de type TLSA dans le logiciel DNS et c’est tout (simple comme bonjour!). Exemple: « _443._tcp.www.example.com. IN TLSA (0 0 1 d2XX…X ) »

Les possibilités de DANE sont très larges:

  • La compatibilité avec le système de chaine de confiance actuelle avec les autorités de certification (AC); on renforce/durcit ici la chaine de confiance:
    • Possibilité 1: l’enregistrement TLSA contient les informations de l’AC qui vous fournira les certificats TLS pour le nom de domaine en question; ceci dit ici, vous restez dépendant des géants et vous avez décidez d’exploiter à fond vos certificats acquis à prix d’or avec DANE, en attendant leur expiration
    • Possibilité 2: l’enregistrement TLSA contient directement les informations du certificat de votre nom de domaine; vote situation reste inchangée!
  • Vous avez enfin decidé de vous « affranchir » et de vous débrouillez aussi sereinement dans votre coin:
    • Possibilité 3: l’enregistrement TLSA spécifie l’ancre d’approbation, c’est à dire que si j’ai mon propre AC ne figurant pas dans la liste des AC typiquement installées dans les applications client (Firefox par exemple), cette utilisation de DANE pourrait fournir le certificat (ou l’empreinte numérique) pour cet AC; bingo: les applications clients ne vont cependant pas alarmer que mon certificat SSL/TLS est invalide car il est bel et bien valide mais je l’ai généré moi même sans l’aide des Symantec/Verisign…
    • Possibilité 4: l’enregistrement TLS spécifie le certificat TLS exact devant être utilisé pour le domaine, MAIS, contrairement à la possibilité 1, le certificat TLS n’a pas besoin d’être signé par une AC valide et partant de cela, de certificats auto-signés; bingo: le Graal des Graals!

Les prérequis à DANE sont notamment le passage à TLS, à DNSSEC (c’est fait pour 90% de mes noms de domaine et donc je suis serein!) et bien entendu le support sur les logiciels clients. Pour ce dernier point ce n’est pas encore gagné d’avance car il ya de la resistence, mais aussi une solution: installer des plugins ou extensions chez votre navigateur et le tour est joué. Mais nous comprenons bien entendu que nous n’allons pas passer tout notre temps à parcourir le monde entier pour le faire sur les postes clients des internautes; il faut que les ténors de l’Internet s’active, en commençant par ceux qui ont crée des navigateurs webs.

DANE passe partout: sécurisation des mails, des communications VoIP, des sites webs et j’en passe..

Pour tester des sites web déjà sous DANE, rendez-vous ici.

La balle est désormais dans notre camp et « moins » dans la main des géants de l’Internet! En avant…

 

Tagged on: , , , , , , , , , ,

One thought on “Certificat SSL/TLS auto-signé reconnu immediatement par les navigateurs, messagerie.. grâce à DANE

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *