Donc au final tu admet que Let's Encrypt est un gain net en sécurité par rapport à un certificat signé par une CA non reconnuee...
À court terme, CT ne fait effectivement « que » détecter le problème a posteriori. À moyen/long terme, l'idée c'est d'exposer les CA qui font n'importe quoi et les forcer à améliorer leurs procédures (ou a les faire sortir de la liste des CA reconnues).
Cela dit, même avec juste de la détection a posteriori ça permet souvent de mitiger l'attaque sous jacente. Par exemple si tu sais que les mots de passe utilisés pour un domaine donné sur une plage de temps donnée sont potentiellement compromis, tu peux les (faire) changer plus facilement que si tu n'es pas sûr et que tu dois tous les changer.
Pour les attaques ciblées, HTTPS avec les CA par défaut c'est un peu léger mais Let's Encrypt et CT ne rendent pas la situation pire. Elle est même un peu meilleure. Ce qui n'empêche pas de rajouter des couches d'authentification / chiffrement par dessus selon le modèle de menace considéré.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: Non, mais ce n’est pas Let’s Encrypt le problème
Posté par Krunch (courriel, site web personnel) . En réponse au message Let's Encrypt est-il adéquat?. Évalué à 2.
Donc au final tu admet que Let's Encrypt est un gain net en sécurité par rapport à un certificat signé par une CA non reconnuee...
À court terme, CT ne fait effectivement « que » détecter le problème a posteriori. À moyen/long terme, l'idée c'est d'exposer les CA qui font n'importe quoi et les forcer à améliorer leurs procédures (ou a les faire sortir de la liste des CA reconnues).
Cela dit, même avec juste de la détection a posteriori ça permet souvent de mitiger l'attaque sous jacente. Par exemple si tu sais que les mots de passe utilisés pour un domaine donné sur une plage de temps donnée sont potentiellement compromis, tu peux les (faire) changer plus facilement que si tu n'es pas sûr et que tu dois tous les changer.
Pour les attaques ciblées, HTTPS avec les CA par défaut c'est un peu léger mais Let's Encrypt et CT ne rendent pas la situation pire. Elle est même un peu meilleure. Ce qui n'empêche pas de rajouter des couches d'authentification / chiffrement par dessus selon le modèle de menace considéré.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.