web-dev-qa-db-fra.com

Quel est le niveau de sécurité de "Let's Encrypt"?

Je viens de configurer et d'installer un certificat SSL gratuit de Let's Encrypt . C'est génial et très facile à installer.

Cependant, dans cette ère post-Snowden, je me demandais à quel point c'était vraiment sécurisé. Par exemple, la procédure ne vous demande jamais de créer une clé privée, au lieu de cela, ils en créent par magie une pour vous. C'est génial et tout, mais quelqu'un a-t-il vérifié à quel point cela est vraiment sécurisé?

Remarque: j'ai vu des questions connexes comme this . Cependant, cela concerne la sécurité du "processus" (contre le piratage) et suppose que les certificats sont sécurisés en soi. Je suis plus préoccupé par la sécurité du certificat et le chiffrement qui en résulte.

19
geert3

Essayez "acme-tiny"

Il existe un autre projet client "Let's encrypt" appelé "acme-tiny".

Il est moins automatisé, mais plus petit. Dans leurs propres mots :

Il s'agit d'un petit script vérifiable que vous pouvez lancer sur votre serveur pour émettre et renouveler des certificats Let's Encrypt. Puisqu'il doit être exécuté sur votre serveur et avoir accès à votre clé de compte Let's Encrypt privée, j'ai essayé de la rendre aussi petite que possible (actuellement moins de 200 lignes). Les seuls prérequis sont python et openssl.

Aussi: client régulier en mode manuel.

Si vous faites confiance au client letsencrypt général, mais souhaitez uniquement créer manuellement la CSR, vous pouvez suivre les étapes décrites ici:

Et le cœur de cette idée est cette ligne:

letsencrypt certonly \
    --authenticator manual \
    --server https://acme-v01.api.letsencrypt.org/directory --text \
    --email [email protected] \
    --csr signreq.der
12
StackzOfZtuff

Par exemple, la procédure ne vous demande jamais de créer une clé privée, au lieu de cela, ils en créent par magie une pour vous.

Je sais que la cryptographie est magique, mais dans ce cas, elle est également sécurisée ... :-)

Parce que lorsque vous utilisez un client Let's Encrypt, la paire de clés est générée localement sur votre serveur et pas envoyée aux serveurs Let's Encrypt * - contrairement à d'autres autorités de certification commerciales , qui a généré/génère la paire de clés sur ses propres serveurs. En cas de doute, vous devez vérifier la source du client que vous utilisez.

Je suis plus préoccupé par la sécurité du certificat et le chiffrement qui en résulte.

Le "chiffrement résultant" dépend entièrement de la configuration de votre certificat et ssl/tls et ne dépend pas de l'autorité de certification que vous utilisez (= Let's Encrypt). Comme le client LE officiel crée des certificats 2048 bits, je peux dire que ceux-ci sont sécurisés. Tout le reste dépend de votre config .

* Il existe quelques exceptions, mais elles sont très rares. Il existe des clients de navigateur Web qui génèrent la clé privée dans votre navigateur, mais vous pouvez facilement contourner cela: utilisez un vrai client (hors ligne) ou par ex. faites-le manuellement avec https://gethttpsforfree.com/ .

4
rugk