• # Du certificat racine de Let's Encrypt

    Posté par (site web personnel) . En réponse à la dépêche Firefox 50 Cent. Évalué à 10.

    Firefox 50 reconnait le certificat Racine de l’Internet Security Research Group: ISRG Root X1. Auparavant c'était Digital Signature Trust Co qui signait les certificats via Let's Encrypt Authority X1 Let's Encrypt Authority X3 pour qu'ils soient reconnus dans tous les navigateurs.

    À noter que cette reconnaissance est un début, mais ne sera utilisable en pratique que quand tous les navigateurs majeurs en auront fait de même. J'explique...

    Le modèle X.509, et en particulier le format de certificats, présente depuis ses débuts une limitation majeure, en ce qu'un certificat ne peut porter qu'une seule signature d'autorité de certification. Soit dit en passant, c'est cette limitation technique qui impose un modèle de confiance pyramidal, par opposition à la toile de confiance de systèmes de OpenPGP, et qui a d'importantes conséquences négatives en matière d'organisation et de sécurité : c'est à cause de cela qu'il y a peu d'autorités de certification, qu'il est difficile d'en créer de nouvelles, et que la défaillance d'une seule compromet à chaque fois la sécurité de tout le réseau.

    Le problème de la création d'une nouvelle autorité s'est posé à Let's Encrypt : n'étant reconnue par aucun navigateur, les certificats qu'ils émettent, signés par leur clef intermédiaire fournie dans un certificat signé par leur clef racine fournie dans un certificat reconnu par personne, auraient été à peu près inutilisables. Pour éviter cela, ils ont émis une version alternative de leur certificat racine, portant la même clef publique, mais qu'ils ont fait signer par une autorité reconnue, IdenTrust. Notons en passant qu'il ne s'agit alors plus vraiment d'un certificat racine, mais d'un certificat intermédiaire, strictement parlant.

    Les administrateurs de serveurs utilisant des certificats émis par Let's Encrypt peuvent donc configurer leur serveur pour exposer leur certificat, suivi du certificat intermédiaire de Let's Encrypt, suivi du certificat « racine » temporaire de Let's Encrypt. Ainsi, pour le client, il s'agit d'un certificat signé par une chaîne qui remonte jusqu'à un certificat d'autorité de certification reconnu.

    Lorsque le certificat racine de Let's Encrypt sera reconnu partout, les administrateurs de serveurs utilisant des certificats émis par Let's Encrypt pourront les configurer pour exposer leur certificat, suivi du certificat intermédiaire de Let's Encrypt et c'est tout. Mais pour le moment, ce n'est pas une option, parce que pour tous les autres navigateurs, il s'agirait d'un certificat sans chaîne de certification remontant à un certificat d'autorité de certification reconnu.