Bon, v’là que l’Électronic Frontier Foundation et Mozilla veulent lancer une nouvelle AC automatique et gratuite pour pouvoir fournir des certificats à moindre coût à tout le web.

Ils reprennent donc le principe de CAcert.org, en allant plus loin et faisant de la pub. OK, on a compris le principe.

Bon, la première proposition est bonne !

Les problèmes avec TLS/SSL sont multiples.

Tout d’abord les commandes ssl elles-mêmes. Les commandes SSL sont en effet particulièrement complèxes et leur auteur mérite d’être jeté dans la fosse aux lions ou laissé à disposition d’une colonie de fourmis après l’avoir recouvert de miel et/ou de ketchup…

Ce que je pense de l’auteur des commandes ssl

L’idée ici, c’est de créer un outil de gestion des certificats clé en main, qui évite la crise de nerf à chaque fois qu’on doit bricoler un truc. Bien !

Mais… Mais déjà il y a un hic. Par défaut, on ne voit pas la génération de la chaine de certification, ce qui fait qu’on a moins confiance dans le truc.
Or à ce niveau, c’est vital ! Bon, il faut donc afficher en direct les commandes.
C’est possible, ils le font dans la video de démonstration. Ce devrait juste être l’option par défaut.
Et on devrait aussi avoir quelques options de plus, qui vont sûrement émerger/être proposées/codées.

Mais, réjouissons nous ! Il y aura enfin un outil pratique de gestion des certificats ssl !

Deuxième chose

C’est que c’est encore une AC ! Donc il suffit de la cracker pour pouvoir foutre le bordel dans tout le système. Et encore, un robot automatique. Non pas qu’une vraie AC soit plus sécurisée, mais je pense que les pirates s’en donneront à cœurs joie de cracker le robot de certification.

Au passage, corollaire à ce nouveau problème : en créant une nouvelle AC, Mozilla diminue ses sources de revenus, puisqu’elle se finance en partie par la réalisation d’audits chez les AC commerciales.

Et deuxième corollaire : qui paye ? Car, certes, les certificats seront gratuits, mais tout celà va nécessiter une infrastructure (un serveur pour l’AC et son robot au minimum, le site web, la doc…) et du personnel (il faut maintenir le système, la documentation, assurer une veille de sécurité top niveau, faire une bonne communication, essentielle à ce niveau encore une fois…).

La vraie solution

La vraie solution, se serait de pousser davantage au déploiement de DNSSEC et à l’utilisation de DANE.

Les serveurs de noms savent signer automatiquement les domaines (BIND et Knot le font) ou d’autres logiciels se proposent de le faire (OpenDNSSEC ou ZTK).

Certes, ce n’est pas simple. Mais au lieu de dépendre de la sécurité d’un tiers extérieur (l’AC, qui constitue donc une cible d’attaque privilégiée et permet de faire tomber tout le bordel. Le modèle des AC a été critiqué maintes fois ces dernières années précisement sur ce point.), vous dépendez de la sécurité globale du DNS, assurée par DNSSEC de bout en bout, ainsi que de votre propre compétence d’admin, ce qui était déjà necessaire et est améliorée grace à cet outil de gestion des certificats ssl.