Le 30 septembre de cette année, plusieurs sites et services ont cessé de fonctionner pour de nombreux utilisateurs en raison d’un problème d’expiration de certificat de sécurité. De nombreux acheteurs en ligne ont découvert qu’ils ne pouvaient pas terminer leurs achats, et les entreprises utilisant les services Web de Xero ou d’Intuit QuickBooks ont également vu leur travail interrompu.
Il y a eu des problèmes avec CDN Cloudflare et les anciennes variantes d’iOS qui n’ont pas pu se connecter en toute sécurité aux sites Web et services en ligne. Partout sur Internet, les navigateurs et les applications n’ont pas réussi à entrer en contact avec leurs emplacements cibles en silence, ou ont signalé des erreurs indiquant que des connexions sûres ne pouvaient pas être développées.
Même parmi les professionnels de l’innovation qualifiés et parmi la majorité de la population utilisant Internet, l’ensemble du sujet des certificats, des autorités de certification de sécurité, des certificats racine, SSL, TLS et du cryptage en base est un art sombre. Outre l’écran d’un cadenas sur la barre d’URL d’un navigateur Internet, ou une vague compréhension que https://site.com est en quelque sorte plus sécurisé que http://site.com, peu de gens ont une idée des couches de technologie qui fonctionnent en permanence pour assurer la sécurité du Web.
Pour ceux qui ont besoin de connaître les raisons de ce qui s’est passé le 30 septembre, comment la sauvegarde du cryptage des fichiers est réparti sur une grande partie du Web, et ce qui se passe lorsque les entités de silicium cessent de se faire confiance, continuez à lire. Voici le guide du spécialiste des affaires sur les certificats, et comment certaines mathématiques vraiment créatives aident à protéger le trafic Internet.
Vous possédez google.com (ou goooogle.com)
Imaginez que vous possédez un domaine- – appelons-le goooogle.com. Lorsque des personnes souhaitent parcourir votre site à l’adresse www.goooogle.com, leur navigateur Web vous envoie un message demandant « est-ce vraiment vous ? Puis-je vous faire confiance ? » Pour les rassurer, vous leur envoyez une copie de votre identification numérique, qui est un certificat. Le certificat contient un code complexe, qui est essentiel pour aider le public à déterminer que vous êtes vraiment qui vous prétendez être. C’est ce qu’on appelle un secret public.
Les personnes souhaitant effectuer une recherche sur votre site jettent un œil au certificat qui comprend un enregistrement de l’endroit où il a été créé. Si son créateur (appelé autorité de certification) n’apparaît pas dans la liste des créateurs (CA) intégrée au navigateur Internet (la longueur de la liste des CA appropriées diffère selon que vous utilisez Firefox, Chrome, Edge, Safari et ainsi de suite), la personne assise sur le navigateur Web reçoit un message d’erreur. Vous en avez peut-être vu un, quelque chose du genre « Cet émetteur de certificat n’est pas inconnu, êtes-vous sûr de vouloir continuer ? ». En attendant, néanmoins, imaginons que tout va bien, et que l’autorité de certification est reconnue.
Le navigateur Internet examine ensuite le certificat et valide, mathématiquement, qu’il a bien été émis par l’autorité de certification qu’il déclare. Si tout se vérifie, le navigateur et le site choisissent de discuter. Entre eux, ils créent un secret de session, qui est utilisé par les deux côtés de la conversation pour obscurcir leur conversation.
L’usurpation d’identité n’est pas facile
Internet est un réseau libre et ouvert emplacement, et n’importe qui peut libérer un certificat de sécurité qui peut être utilisé pour crypter le trafic entre un site Web qu’il a créé et les personnes qui souhaitent le rechercher en toute sécurité. La distinction entre l’auto-certification et l’obtention d’un certificat d’une autorité de certification est double. Quiconque recherche un site Web qui a un auto-certifié recevra le message discuté ci-dessus, en particulier : « Ce certificat provient d’une autorité que je ne reconnais pas. En êtes-vous vraiment sûr ? » La deuxième distinction est que pour obtenir un certificat d’une autorité de certification reconnue (parmi les cent ou deux intégrés au navigateur Web), les organisations doivent franchir certains obstacles, comme le ferait toute personne demandant un passeport ou une carte d’identité nationale.
Lorsqu’une entreprise demande un certificat sécurisé reconnu, elle doit au moins prouver qu’elle est propriétaire du domaine, en réagissant à un e-mail envoyé à ce domaine et éventuellement à quelques d’autres vérifications en coulisses. Plus un site veut être sûr et sécurisé, plus le nombre d’étapes qu’il devra franchir sera élevé. C’est ce qu’on appelle la validation prolongée et se termine par la délivrance d’un certificat EV.
Alors, qu’est-ce qui a échoué le 30 septembre ?
L’une des autorités de certification les plus utilisées est Let’s Encrypt. Il est généralement utilisé par toute organisation qui souhaite l’un des certificats les plus rapides et les moins contrôlés. Au lieu du certificat de reconnaissance étendue, ceux-ci sont appelés certificats validés par domaine ou certificats numériques X. 509 au titre accrocheur. Pour les concepteurs d’applications, ils constituent un réel avantage, car ils offrent un degré de sécurité décent tout en étant rapides à acquérir et à configurer. Ils sont beaucoup utilisés pour fournir une connexion HTTPS à un site Web contenant des données non sensibles et axé sur le contenu, ou une entrée d’API entre les applications qui se transmettent des données.
Au cœur de le fonctionnement des autorités de certification est ce qu’on appelle les certificats racines. Chaque autorité de certification en a une, et en réalité, il y a une copie de chacune d’entre elles intégrée dans le navigateur Web moyen. Ce sont elles qui composent la liste des sociétés approuvées indiquées ci-dessus. Les certificats racines sont utilisés par l’AC pour développer au moins un certificat intermédiaire, également signé par l’autorité de certification de sécurité. Cela crée une chaîne de confiance : le certificat du site peut être inspecté par rapport au certificat intermédiaire de l’autorité de certification, qui peut être examiné par rapport au certificat racine. Et comme tous les certificats, les certificats racine expirent et sont remplacés, même s’il faut le dire, rarement.
La nature des systèmes d’innovation est telle que de nombreux systèmes d’exploitation, navigateurs et autres applications plus anciens qui utilisent le Web restent en production à l’état sauvage (par exemple, les anciens téléphones Android). Le certificat racine relatif à Let’s Secure sur certains systèmes plus anciens n’a pas été mis à jour. Pour cette raison, il y avait une incohérence entre les certificats le long de la chaîne de confiance : les certificats racine sur les gadgets plus anciens ne pouvaient pas être validés mathématiquement comme casher.
Let’s Secure a publié de nombreux avis sur l’expiration de sa racine. certificat de sécurité, et a même utilisé un certain nombre de solutions de contournement pour pousser efficacement les anciens systèmes à les mettre à niveau, mais pour toutes sortes de facteurs – les développeurs procédant de tâche en tâche, les erreurs humaines, etc. les mises à jour des certificats ont cessé de fonctionner.
Le problème du 30 septembre n’était pas un échec systémique, mais un problème procédural. De plus, cela n’affectait qu’une seule des autorités racine (les autorités de certification qui détiennent les certificats racine – Let’s Encrypt, dans ce cas), donc les pannes n’étaient pas répandues.
C’est assez facile pour des messages comme celui-ci de terminer par un appel aux armes pour s’assurer que les systèmes dépendent de la date, mais la nature de la plupart des systèmes technologiques est qu’ils comprennent de nombreuses pièces mobiles. L’emplacement des jeux de clés, du cryptage des fichiers, de la signature numérique et des certificats peut être extrêmement complexe, même pour les mathématiciens titulaires d’un doctorat en informatique. Après tout, les professionnels de l’entretien peuvent ne pas comprendre comment fonctionnent réellement les airbags d’une voiture. Il est tout simplement excellent de comprendre qu’ils existent, ce qui est parfois (malheureusement) prouvé qu’ils fonctionnent.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
