Nouvelles exigences de sécurité adoptées par le secteur des certificats HTTPS, pour garantir des connexions réseau sûres et fiables La confiance dans l'émission de certificats HTTPS a été renforcée par de nouvelles pratiques imposées par les exigences de base du CA/Browser Forum visant à renforcer la validation des certificats. Afin d'améliorer la validation du contrôle du domaine, la corroboration multi-perspective de l'émission (MPIC) a été ajoutée aux exigences de base, car elle s'est avérée efficace contre les détournements BGP dans le monde réel.
Le protocole de transfert hypertexte sécurisé (HTTPS) est une extension du protocole de transfert hypertexte (HTTP). Il utilise le chiffrement pour sécuriser les communications sur un réseau informatique et est largement utilisé sur l'internet. Dans HTTPS, le protocole de communication est chiffré à l'aide de Transport Layer Security (TLS) ou, anciennement, Secure Sockets Layer (SSL).
Les principales motivations du protocole HTTPS sont l'authentification du site web consulté et la protection de la confidentialité et de l'intégrité des données échangées pendant leur transit. Il protège contre les attaques de type « man-in-the-middle » et le chiffrement bidirectionnel par blocs des communications entre un client et un serveur protège les communications contre l'écoute et la falsification.
En 2016, une campagne menée par l'Electronic Frontier Foundation avec le soutien des développeurs de navigateurs web a permis de généraliser le protocole. HTTPS est aujourd'hui plus souvent utilisé par les internautes que le protocole HTTP original, non sécurisé, principalement pour protéger l'authenticité des pages sur tous les types de sites web, sécuriser les comptes et préserver la confidentialité des communications, de l'identité et de la navigation de l'utilisateur.
Récemment, l'équipe de sécurité de Google a annoncé que de nouvelles exigences de sécurité ont été adoptées par le secteur des certificats HTTPS. Pour rappel, ils ont lancé le programme Chrome Root en 2022 pour maintenir des connexions réseau sécurisées et fiables dans Chrome. Le programme est destiné à assurer la sécurité des utilisateurs et se concentre sur la promotion des technologies et des pratiques qui renforcent les garanties de sécurité sous-jacentes fournies par TLS.
Outre ce programme, l'équipe de Google avait publié une feuille de route publique intitulée « Moving Forward, Together ». Cette feuille de route n'est pas normative et est considérée comme distincte des exigences détaillées dans la politique du programme Chrome Root. Elle se concentre sur des thèmes que l'équipe juge essentiels pour améliorer l'écosystème de l'ICP Web à l'avenir, en complément des principes fondamentaux de Chrome que sont la vitesse, la sécurité, la stabilité et la simplicité. Ces thèmes sont les suivants
- Encourager les infrastructures modernes et l'agilité
- Mettre l'accent sur la simplicité
- Promouvoir l'automatisation
- Réduire les erreurs d'émission
- Renforcer la responsabilité et l'intégrité de l'écosystème
- Rationaliser et améliorer les pratiques de validation des domaines
- Se préparer à un monde « post-quantique »
Au début du mois de mars 2025, deux initiatives « Moving Forward, Together » sont devenues des pratiques obligatoires dans les exigences de base du CA/Browser Forum (BRs). Le CA/Browser Forum est un groupe interprofessionnel qui collabore à l'élaboration d'exigences minimales pour les certificats TLS. En fin de compte, ces nouvelles initiatives représentent une amélioration de la sécurité et de la souplesse de toutes les connexions TLS dont dépendent les utilisateurs de Chrome.
Corroboration de l'émission multi-perspective
Avant de délivrer un certificat à un site web, une autorité de certification (AC) doit vérifier que le demandeur contrôle légitimement le domaine dont le nom sera représenté dans le certificat. Ce processus est appelé « validation du contrôle du domaine » et plusieurs méthodes bien définies peuvent être utilisées. Par exemple, une autorité de certification peut spécifier une valeur aléatoire à placer sur un site web, puis vérifier que la présence de cette valeur a été publiée par le demandeur du certificat.
Malgré les exigences existantes en matière de validation du contrôle de domaine définies par le CA/Browser Forum, des recherches évaluées par des pairs et menées par le Center for Information Technology Policy (CITP) de l'université de Princeton et d'autres organismes ont mis en évidence le risque d'attaques par le protocole BGP (Border Gateway Protocol) et le détournement de préfixes, qui aboutissent à la délivrance de certificats de manière frauduleuse. Ce risque n'était pas seulement théorique, puisqu'il a été démontré que les attaquants ont réussi à exploiter cette vulnérabilité à de nombreuses reprises, une seule de ces attaques ayant entraîné des pertes directes d'environ 2 millions de dollars.
La corroboration d'émission multi-perspective (appelée « MPIC ») améliore les méthodes de validation de contrôle de domaine existantes en réduisant la probabilité que des attaques de routage puissent aboutir à des certificats délivrés de manière frauduleuse. Plutôt que d'effectuer la validation et l'autorisation du contrôle de domaine à partir d'un seul point d'observation géographique ou de routage, qu'un adversaire pourrait influencer comme l'ont démontré les chercheurs en sécurité, les implémentations MPIC effectuent la même validation à partir de plusieurs emplacements géographiques et/ou fournisseurs d'accès à l'internet. Il s'agit d'une contre-mesure efficace contre les détournements de BGP réalisés de manière éthique dans le monde réel.
Le programme Chrome Root a dirigé une équipe de travail composée de participants de l'écosystème, qui a abouti à un vote du CA/Browser Forum pour exiger l'adoption du MPIC par le biais du vote SC-067. Le vote a reçu le soutien unanime des organisations qui ont participé au vote. À partir du 15 mars 2025, les autorités de certification qui émettent des certificats de confiance publique doivent désormais s'appuyer sur la MPIC dans le cadre de leur processus d'émission de certificats. Certaines de ces AC s'appuient sur le projet Open MPIC pour s'assurer que leurs implémentations sont robustes et conformes aux attentes de l'écosystème.
Linting
Linting fait référence au processus automatisé d'analyse des certificats X.509 pour détecter et prévenir les erreurs, les incohérences et la non-conformité avec les exigences et les normes de l'industrie. Ce processus permet de s'assurer que les certificats sont bien formatés et qu'ils contiennent les données nécessaires à l'usage auquel ils sont destinés, comme l'authentification de sites web.
L'analyse peut mettre en évidence l'utilisation d'algorithmes de chiffrement faibles ou obsolètes et d'autres pratiques peu sûres connues, ce qui améliore la sécurité globale. L'établissement d'une liste améliore l'interopérabilité et aide les autorités de certification à réduire le risque de non-conformité avec les normes industrielles (par exemple, les exigences de base TLS de l'autorité de certification et du forum des navigateurs). La non-conformité peut entraîner l'émission de certificats erronés. La détection de ces problèmes avant qu'un certificat ne soit utilisé par un opérateur de site réduit l'impact négatif associé à la correction d'un certificat mal délivré.
Il existe de nombreux projets d'évaluation de la qualité en source ouverte (par exemple, certlint, pkilint, x509lint et zlint), ainsi que de nombreux projets d'évaluation personnalisés gérés par des membres de l'écosystème de l'ICP Web. Les « Meta » linters, comme pkimetal, combinent plusieurs outils de linting en une seule solution, offrant une simplicité et des améliorations de performance significatives aux implémenteurs par rapport à la mise en œuvre de plusieurs solutions de linting autonomes.
Selon l'équipe de sécurité de Google, au printemps dernier, le programme Chrome Root a mené des expériences à l'échelle de l'écosystème, soulignant la nécessité d'adopter des outils d'évaluation de la qualité en raison de la découverte d'une émission erronée de certificats à grande échelle. Ils ont ensuite participé à la rédaction du bulletin de vote SC-075 du CA/Browser Forum pour exiger l'adoption du linting des certificats. Ce vote a reçu le soutien unanime des organisations qui ont participé au vote. À partir du 15 mars 2025, les autorités de certification qui émettent des certificats de confiance publique doivent désormais s'appuyer sur le linting dans le cadre de leur processus d'émission de certificats.
L'équipe de sécurité de Google a notamment partagé son point de vue sur les prochaines étapes de la sécurisation de HTTPS :
Nous avons récemment publié une version actualisée de la politique du programme Chrome Root qui s'aligne davantage sur les objectifs énoncés dans le document « Moving Forward, Together ». Le programme racine Chrome reste engagé dans l'avancement proactif de l'ICP Web. Cet engagement s'est récemment concrétisé par notre proposition de mettre fin aux méthodes de validation du contrôle de domaine faibles autorisées par les exigences de base TLS du CA/Browser Forum. Les méthodes de validation faibles en question sont désormais interdites à partir du 15 juillet 2025.
Il est essentiel que nous travaillions tous ensemble à l'amélioration continue de l'ICP Web et à la réduction des possibilités de risques et d'abus avant que des dommages mesurables ne puissent être causés. Nous continuons à apprécier la collaboration avec les professionnels de la sécurité sur le web et les membres du CA/Browser Forum afin de rendre l'internet plus sûr. Pour l'avenir, nous sommes impatients d'explorer une ICP Web réimaginée et le programme Chrome Root avec des garanties de sécurité encore plus fortes pour le Web alors que nous naviguons dans la transition vers le chiffrement post-quantique. Nous en dirons plus sur l'ICP résistante au quantique dans le courant de l'année.
Il est essentiel que nous travaillions tous ensemble à l'amélioration continue de l'ICP Web et à la réduction des possibilités de risques et d'abus avant que des dommages mesurables ne puissent être causés. Nous continuons à apprécier la collaboration avec les professionnels de la sécurité sur le web et les membres du CA/Browser Forum afin de rendre l'internet plus sûr. Pour l'avenir, nous sommes impatients d'explorer une ICP Web réimaginée et le programme Chrome Root avec des garanties de sécurité encore plus fortes pour le Web alors que nous naviguons dans la transition vers le chiffrement post-quantique. Nous en dirons plus sur l'ICP résistante au quantique dans le courant de l'année.
Sources : Google, CA/Browser Forum
Et vous ?
Pensez-vous que ces nouvelles méthodes de sécurisation sont crédibles ou pertinentes ? Quel est votre avis sur le sujet ?Voir aussi :
Google annonce que la barre d'adresse de Chrome utilisera désormais "https://" par défaut, pour améliorer la confidentialité et la vitesse de chargement des sites Web prenant en charge ce protocole Pourquoi devriez-vous faire migrer vos sites statiques de HTTP vers HTTPS ? Voici les raisons avancées par un expert en sécurité Web Google présente son modèle de menace pour la cryptographie post-quantique pour prévenir les attaques futures de "stocker maintenant-déchiffrer plus tard"
Vous avez lu gratuitement 2 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.
