Non, on fait simplement des choses avec des étapes de transitions raisonnables.
Tu as ton certificat traditionnel émis par une CA reconnue qui autorise les visiteurs à consulter ton site sans avertissements (mais sans sécurité non plus, merci le modèle PKIX...), en quoi est-il déraisonnable d’épingler ce certificat dans un enregistrement TLSA ? Tu ne perturbes en rien le fonctionnement des navigateurs qui ne connaissent pas DANE.
Il n'a jamais été designé pour les remplacer, uniquement corriger leur problèmes: ce qui est le plus urgent à faire.
Certificate Transparency corrige quoi au juste ?
Autant le dire : Certificate Transparency ne sert à rien, et surtout pas à « corriger les problèmes des CA ».
L’objectif de Certificate Transparency est de pouvoir détecter quand une « rogue CA » émet un certificat illégitime. Quand tous les navigateurs exigeront que les certificats soient affublés d’un ou plusieurs SCT pour être acceptés, une CA ne pourra pas émettre de certificats sans l’enregistrer dans les logs de Certificate Transparency (nécessaire pour obtenir le SCT), ce qui permettra à tout le monde de découvrir ce certificat illégitime.
Et après ? Ben rien. Certificate Transparency ne dit absolument rien quand à ce qui doit se passer ensuite. La vision bisounours est que les éditeurs de navigateurs, en constatant que la CA a émis des certificats frauduleux, prendront immédiatement la décision qui s’impose, à savoir virer la CA indélicate de leurs magasins d’autorité de confiance.
C’est tellement naïf que je ne peux pas imaginer une seule seconde que les promoteurs de Certificate Transparency y croient réellement.
On n’a jamais viré sans ménagements une CA des magasins des navigateurs. Quand une CA indélicate est prise la main dans le sac, on s’indigne, on crie (surtout si la CA est chinoise, beaucoup moins si elle est américaine...), mais on tergiverse beaucoup et au final on ne fait pas grand’chose.
(De toute façon une action en suppression immédiate et inconditionnelle au moindre certificat émis en doublon ne serait pas mieux : il peut y avoir des raisons légitimes pour qu’une CA émette un certificat pour un domaine qui en a déjà un ailleurs... par exemple pour fournir le backup pin requis par HPKP.)
La seule raison d’être de Certificate Transparency est d’asseoir un peu plus le cartel des CA, en exigeant :
de la part des navigateurs, qu’un certificat possède un ou plusieurs SCT pour être accepté ;
de la part des journaux Certificate Transparency, qu’un certificat soit émis par une CA reconnue pour l’enregistrer et lui donner son SCT (en particulier, les certificats auto-signés sont explicitement exclus).
Et je ne parle pas du bordel que représente l’implémentation de Certificate Transparency, qui demande des modifications à peu près à tous les niveaux.
Je n'aime pas plus les certificate authority que vous: elles coûtent cher, ont un monopole honteux, une éthiques douteuses pour certaines d'entre elles. Je les verrai avec joie disparaitre.
Certificate Transparency est justement conçu pour s’assurer qu’elles ne disparaissent pas.
Un internet sans CA viendra bien plus probablement de choses comme :
Toutes ces méthodes sont intéressantes et la meilleure solution est à mon avis de permettre d’utiliser toutes ces méthodes selon ses besoins et convenances, plutôt que de vouloir absolument une méthode unique. DANE est une des méthodes possibles. Encore une fois, personne n’a prétendu que ça devait être la seule. Contrairement aux CA, qui ont pris soin de se rendre indispensable.
[^] # Re: Et DANE simplement
Posté par gouttegd . En réponse au journal Public Key Pinning Extension for HTTP. Évalué à 5.
Tu as ton certificat traditionnel émis par une CA reconnue qui autorise les visiteurs à consulter ton site sans avertissements (mais sans sécurité non plus, merci le modèle PKIX...), en quoi est-il déraisonnable d’épingler ce certificat dans un enregistrement TLSA ? Tu ne perturbes en rien le fonctionnement des navigateurs qui ne connaissent pas DANE.
Certificate Transparency corrige quoi au juste ?
Autant le dire : Certificate Transparency ne sert à rien, et surtout pas à « corriger les problèmes des CA ».
L’objectif de Certificate Transparency est de pouvoir détecter quand une « rogue CA » émet un certificat illégitime. Quand tous les navigateurs exigeront que les certificats soient affublés d’un ou plusieurs SCT pour être acceptés, une CA ne pourra pas émettre de certificats sans l’enregistrer dans les logs de Certificate Transparency (nécessaire pour obtenir le SCT), ce qui permettra à tout le monde de découvrir ce certificat illégitime.
Et après ? Ben rien. Certificate Transparency ne dit absolument rien quand à ce qui doit se passer ensuite. La vision bisounours est que les éditeurs de navigateurs, en constatant que la CA a émis des certificats frauduleux, prendront immédiatement la décision qui s’impose, à savoir virer la CA indélicate de leurs magasins d’autorité de confiance.
C’est tellement naïf que je ne peux pas imaginer une seule seconde que les promoteurs de Certificate Transparency y croient réellement.
On n’a jamais viré sans ménagements une CA des magasins des navigateurs. Quand une CA indélicate est prise la main dans le sac, on s’indigne, on crie (surtout si la CA est chinoise, beaucoup moins si elle est américaine...), mais on tergiverse beaucoup et au final on ne fait pas grand’chose.
(De toute façon une action en suppression immédiate et inconditionnelle au moindre certificat émis en doublon ne serait pas mieux : il peut y avoir des raisons légitimes pour qu’une CA émette un certificat pour un domaine qui en a déjà un ailleurs... par exemple pour fournir le backup pin requis par HPKP.)
La seule raison d’être de Certificate Transparency est d’asseoir un peu plus le cartel des CA, en exigeant :
de la part des navigateurs, qu’un certificat possède un ou plusieurs SCT pour être accepté ;
de la part des journaux Certificate Transparency, qu’un certificat soit émis par une CA reconnue pour l’enregistrer et lui donner son SCT (en particulier, les certificats auto-signés sont explicitement exclus).
Et je ne parle pas du bordel que représente l’implémentation de Certificate Transparency, qui demande des modifications à peu près à tous les niveaux.
Certificate Transparency est justement conçu pour s’assurer qu’elles ne disparaissent pas.
Toutes ces méthodes sont intéressantes et la meilleure solution est à mon avis de permettre d’utiliser toutes ces méthodes selon ses besoins et convenances, plutôt que de vouloir absolument une méthode unique. DANE est une des méthodes possibles. Encore une fois, personne n’a prétendu que ça devait être la seule. Contrairement aux CA, qui ont pris soin de se rendre indispensable.