• [^] # Re: J'espère que c'est vrai...

    Posté par . En réponse au journal Encryptons. Évalué à 10.

    mais pas un mot sur quand et comment ils comptent arriver à ça.

    Alors, il n’y a rien sur le site de Let’s Encrypt, mais l’annonce de J. Alex Halderman apporte une réponse : leur certificat racine sera signé par IdenTrust, qui est déjà dans les magasins des navigateurs :

    We recently completed a cross-signing agreement with IdenTrust that will let certificates from Let’s Encrypt be trusted by almost all web browsers from day one. We’re also going to work with browser makers to have our root integrated into major browsers going forward, to ensure lasting trust.

    Avant de vous réjouir, réfléchissez un peu à ce que ça signifie.

    Ça veut dire que cette nouvelle CA (sous-CA, en réalité, ou CA intermédiaire) aura automatiquement la confiance de tous les navigateurs et pourra signer des certificats valides partout... alors qu’elle n’aura été soumise à aucune des contraintes dictées par le CA/Browser Forum, ni exposée à aucune vérification par les responsables des navigateurs. Let’s Encrypt peut ne pas avoir de politique de sécurité, ne pas avoir fait l’objet d’un audit... ça n’empêchera pas les navigateurs de lui faire confiance. Les seules contraintes pesant sur Let’s Encrypt sont celles éventuellement dictées dans l’accord qui lie la nouvelle CA à son signataire IdenTrust, que ni Let’s Encrypt ni IdenTrust n’ont l’obligation de rendre public.

    Notez qu’il n’y a là rien de spécifique à Let’s Encrypt et IdenTrust : c’est juste une illustration du problème posé par les CA intermédiaires, auxquelles les directives du CA/Browser Forum (les mêmes que CAcert ne satisfait pas, faute d’audit) ne s’appliquent pas puisqu’elles ne concernent que les CA racines. Tant qu’une CA ne cherche pas à entrer dans le magasin des navigateurs, rien ne l’oblige à satisfaire ces directives.

    Je note bien que Let’s Encrypt annonce aussi dans le même passage son intention d’entrer justement dans le magasin des navigateurs, et donc de se plier à terme aux exigences du CA/Browser Forum. C’est tout à leur honneur.

    Mais en attendant, cette nouvelle CA n’existera que grâce à une faille du système, celle qui permet aux CA intermédiaires de s’affranchir des obligations des CA racines. Tout va bien, ayez confiance...