• # Non, mais ce n’est pas Let’s Encrypt le problème

    Posté par . En réponse au message Let's Encrypt est-il adéquat?. Évalué à 10. Dernière modification le 27 décembre 2017 à 12:41.

    est ce que ce certificat apporte vraiment plus de sécurité?

    Non. En l’état actual de PKIX, un certificat signé par une autorité de certification reconnue (qu’il s’agisse de Let’s Encrypt ou d’une autre) n’apporte aucune sécurité supplémentaire par rapport à un certificat signé par une autorité non-reconnue.

    La seule chose qu’apporte la signature par une autorité reconnue est l’absence de message d’erreur côté client, sans que les clients aient quoi que ce soit à faire (comme installer le certificat racine d’une autorité privée). C’est une mesure de confort, pas de sécurité (ce qui n’est pas négligeable pour autant).

    Avec un certificat auto-signé, tes clients sont protégés contre un attaquant passif mais vulnérables à une attaque active de type MITM. Avec un certificat signé par une autorité reconnue, ben... ils sont toujours vulnérables à une attaque active de type MITM, puisqu’il y a what mille autorités de certification là dehors qui peuvent délivrer un certificat frauduleux que les navigateurs des clients accepteront sans broncher (« bah quoi, il est signé par une autorité reconnue, alors c’est bon »).