Pourquoi les certificats Let's Encrypt sont-ils acceptés par défaut par les navigateurs?
J'ai récemment failli être pris par une tentative de phishing, en raison de l'utilisation d'un nom de domaine relativement convaincant et d'un certificat SSL valide (en particulier ce site Web ). Lors de la vérification du certificat, il s'avère qu'il a été émis par Let's Encrypt. Je suis donc allé là-bas et pour autant que je sache, le processus d'émission d'un certificat est automatisé - si vous possédez un domaine, vous pouvez obtenir un certificat.
Mais n'est-ce pas un problème de sécurité et ne va-t-il pas (au moins partiellement) à l'encontre des certificats SSL? Les sites Web malveillants peuvent désormais sembler légitimes grâce à ces certificats, ce qui a beaucoup plus de chances de réussir. Dans mon cas, j'ai vu le cadenas vert sur l'URL et j'ai pensé que tout allait bien. Il semble maintenant qu'en raison de cet émetteur de certificat, les utilisateurs devront cliquer sur ce cadenas et vérifier qui a émis le certificat (et fermer l'onglet s'il provient de letsencrypt ??).
Je me demande donc, vu le risque de sécurité, pourquoi les navigateurs acceptent ce certificat par défaut? Je suis particulièrement surpris que Chrome compte tenu du degré de prudence de Google en matière de sécurité. Estiment-ils que letsencrypt est une bonne idée?
Je pense que vous ne comprenez pas ce qu'un certificat SSL certifie réellement et ce contre quoi il est conçu.
Un certificat standard certifie uniquement que le propriétaire du certificat contrôle réellement le domaine en question. Donc, un certificat pour g00dbank.com certifie uniquement que le propriétaire contrôle g00dbank.com domaine. Il ne certifie pas que le propriétaire est une banque, qu'elle est bonne , ou que le site est en fait la bien connue Good Bank Incorporated.
SSL n'est donc pas conçu pour protéger contre le phishing. Ce n'est pas parce que vous voyez le cadenas vert dans le coin gauche que tout va bien. Vous devez également vérifier que vous êtes sur le bon site Web - que vous êtes sur goodbank.com (par opposition au phishy g00dbank.com) et cela goodbank.com est en fait le site Internet de Good Bank Incorporated.
Pour rendre cela plus facile pour l'utilisateur moyen, il existe quelque chose appelé certificats de validation étendue (EV). Ceux-ci vérifient également que vous êtes l'entité juridique que vous prétendez être, en vous obligeant à remplir certains documents. La plupart des principaux navigateurs les mettent en évidence en affichant le nom du propriétaire dans la barre d'adresse .
Donc, pour obtenir un certificat EV, les hameçonneurs de g00dbank.com devrait démarrer une véritable entreprise (laissant ainsi une trace écrite), et même alors, ils n'en obtiendraient probablement pas parce que leur nom est proche d'une cible sensible.
Lets Encrypt n'émet pas de certificats EV. Ils en émettent des ordinaires. Mais les hameçonneurs que vous avez rencontrés auraient pu obtenir un certificat de n'importe où. En fait, comme le souligne IMSoP dans les commentaires, la méthode utilisée par Lets Encrypt est également utilisée par de nombreuses autorités de certification établies, la seule différence étant que Lets Encrypt est plus efficace et moins cher. Cela n'a donc rien à voir avec Lets Encrypt spécifiquement, et les bloquer ne résoudrait rien.
Pourquoi votre navigateur fait-il confiance aux certificats de l'initiative Let's Encrypt?
Juste pour que cette partie soit claire: votre navigateur/ordinateur approuve ces certificats, car il a reconnu la racine CA "DST Root CA X3" et l'a stockée dans un liste avec certificats de confiance. L'autorité de certification "DST Root CA X3" fait de nouveau confiance à Let's Encrypt et a signé son certificat.
Les certificats gratuits/bon marché/faciles à obtenir sont-ils un problème de sécurité?
Non.
Avoir un certificat signé ou servir https pas implique que le site Web est malveillant ou non. Cela prouve seulement que vous vous êtes connecté à un serveur qui possède un certificat valide et signé pour le domaine.
Le certificat ne fournit plus de garantie que ce qui est dans le certificat lui-même. Dans le cas de Let's encrypt certificats, tout ce qui est garanti est que le serveur auquel vous êtes connecté appartient à la même entité qui possède le nom de domaine que vous avez utilisé pour vous y connecter.
Il existe une autre classe de certificats appelée "certificat de validation étendu" dans laquelle l'autorité de certification émettrice effectue d'autres vérifications. Fondamentalement, vérifiez que le domaine appartient à une entité commerciale existante. Le navigateur affichera généralement un tel certificat avec un indicateur vert avec plus de détails (Chorme, par exemple, ajoutera "la connexion est sécurisée et l'entreprise est connue") à la description du certificat.
Fondamentalement, la présence d'un certificat SSL valide n'indique pas que le domaine cible est sûr. Même le certificat EV ne vous dit pas grand-chose (bien que ce soit un peu mieux).