web-dev-qa-db-fra.com

Existe-t-il un risque de sécurité lorsqu'une autorité de certification est utilisée plus que toutes les autres?

Selon NetTrack , Let's Encrypt est désormais utilisé sur plus de 50% des domaines (51,21% en avril 2018).

Je sais que Let's Encrypt a aidé beaucoup de gens à obtenir des certificats gratuits pour leurs sites Web, donc je pense que son existence était une très bonne chose pour le Web.

Mais le fait qu'une autorité de certification soit utilisée par la majorité des utilisateurs entraîne-t-il des risques de sécurité?


Remarque: cette question est indépendante de l'autorité de certification, même si Let's Encrypt est l'autorité de certification principale aujourd'hui.

37
Benoit Esnard

TL; DR: Peu importe.

Le seul "risque" de sécurité ici est vraiment que l'autorité de certification est "trop ​​grande pour échouer", où les navigateurs ne peuvent pas se méfier rapidement de l'autorité de certification. Mais cela arrive à tous les grands CA, pas seulement au plus grand.

En dehors de cela, le seul problème peut être que l'autorité de certification est une cible plus tentante, bien que toutes les autorités de certification soient déjà très tentantes. Avoir tous les œufs dans le même panier a ses avantages et ses inconvénients dans cette situation. L'avantage est que vous devez protéger un seul panier, l'inconvénient est que si ce panier se casse, l'impact est un peu plus important (en supposant que des technologies comme CAA et HPKP sont utilisées, sinon la taille de l'AC est sans importance).

38
Peter Harmann

Pour briser cette discussion des commentaires sur l'autre réponse: un problème avec une seule autorité de certification dominante est que s'il y a un problème nécessitant son remplacement (par exemple, les navigateurs cessent de lui faire confiance, ou il tombe en panne), il doit y avoir un endroit pour tout le monde à migrer. Cela est vrai pour n'importe quelle autorité de certification, mais si les clients sont répartis sur de nombreux fournisseurs différents, il y a un plus petit nombre qui a besoin de migrer, et le changement de fournisseur sera plus courant lorsque les gens chercheront la meilleure offre.

Dans le cas extrême, un monopole s'effondrant nécessiterait la mise en place d'une AC entièrement nouvelle, ou du moins une petite pour évoluer très rapidement. Si les certificats existants pouvaient être approuvés, mais qu'aucun n'était émis après une certaine date, le délai dépendrait de la durée de délivrance des certificats.

Si l'autorité de certification émettait des certificats courts et s'appuyait sur des systèmes de renouvellement automatique, les utilisateurs devraient alors remplacer leur infrastructure d'automatisation, ou la nouvelle autorité de certification devrait fournir un service compatible. Cela serait un peu plus facile si le service fourni par l'ancienne autorité de certification était basé sur des normes ouvertes ou du code open-source (comme c'est le cas avec Let's Encrypt), car la nouvelle autorité de certification n'aurait pas besoin de procéder à une rétro-ingénierie pour la prendre. plus de; de même, il pourrait y avoir des scénarios dans lesquels l'ancienne AC était disposée à coopérer à la transition. Bien entendu, des efforts supplémentaires seraient nécessaires si la nouvelle autorité de certification n'implémentait pas déjà le même protocole.

2
IMSoP