La confiance dans l'émission de certificats HTTPS a été renforcée par de nouvelles pratiques imposées par les exigences de base du CA/Browser Forum visant à renforcer la validation des certificats. Afin d'améliorer la validation du contrôle du domaine, la corroboration multi-perspective de l'émission (MPIC) a été ajoutée aux exigences de base, car elle s'est avérée efficace contre les détournements BGP dans le monde réel.Le protocole de transfert hypertexte sécurisé (HTTPS) est une extension du protocole de transfert hypertexte (HTTP). Il utilise le chiffrement pour sécuriser les communications sur un réseau informatique et est largement utilisé sur l'internet. Dans HTTPS, le protocole de communication est chiffré à l'aide de Transport Layer Security (TLS) ou, anciennement, Secure Sockets Layer (SSL).
Les principales motivations du protocole HTTPS sont l'authentification du site web consulté et la protection de la confidentialité et de l'intégrité des données échangées pendant leur transit. Il protège contre les attaques de type « man-in-the-middle » et le chiffrement bidirectionnel par blocs des communications entre un client et un serveur protège les communications contre l'écoute et la falsification.
En 2016, une campagne menée par l'Electronic Frontier Foundation avec le soutien des développeurs de navigateurs web a permis de généraliser le protocole. HTTPS est aujourd'hui plus souvent utilisé par les internautes que le protocole HTTP original, non sécurisé, principalement pour protéger l'authenticité des pages sur tous les types de sites web, sécuriser les comptes et préserver la confidentialité des communications, de l'identité et de la navigation de l'utilisateur.
Récemment, l'équipe de sécurité de Google a annoncé que de nouvelles exigences de sécurité ont été adoptées par le secteur des certificats HTTPS. Pour rappel, ils ont lancé le programme Chrome Root en 2022 pour maintenir des connexions réseau sécurisées et fiables dans Chrome. Le programme est destiné à assurer la sécurité des utilisateurs et se concentre sur la promotion des technologies et des pratiques qui renforcent les garanties de sécurité sous-jacentes fournies par TLS.
Outre ce programme, l'équipe de Google avait publié une feuille de route publique intitulée « Moving Forward, Together ». Cette feuille de route n'est pas normative et est considérée comme distincte des exigences détaillées dans la politique du programme Chrome Root. Elle se concentre sur des thèmes que l'équipe juge essentiels pour améliorer l'écosystème de l'ICP Web à l'avenir, en complément des principes fondamentaux de Chrome que sont la vitesse, la sécurité, la stabilité et la simplicité. Ces thèmes sont les suivants
- Encourager les infrastructures modernes et l'agilité
- Mettre l'accent sur la simplicité
- Promouvoir l'automatisation
- Réduire les erreurs d'émission
- Renforcer la responsabilité et l'intégrité de l'écosystème
- Rationaliser et améliorer les pratiques de validation des domaines
- Se préparer à un monde « post-quantique »
Au début du mois de mars 2025, deux initiatives « Moving Forward, Together » sont devenues des pratiques obligatoires dans les exigences de base du CA/Browser Forum (BRs). Le CA/Browser Forum est un groupe interprofessionnel qui collabore à l'élaboration d'exigences minimales pour les certificats TLS. En fin de compte, ces nouvelles initiatives représentent une amélioration de la sécurité et de la souplesse de toutes les connexions TLS dont dépendent les utilisateurs de Chrome.
Corroboration de l'émission multi-perspective
Avant de délivrer un certificat à un site web, une autorité de certification (AC) doit vérifier que le demandeur contrôle légitimement le domaine dont le nom sera représenté dans le certificat. Ce processus est appelé « validation du contrôle du domaine » et plusieurs méthodes bien définies peuvent être utilisées. Par exemple, une autorité de certification peut spécifier une valeur aléatoire à placer sur un site web, puis vérifier que la présence de cette valeur a été publiée par le demandeur du certificat.
Malgré les exigences existantes en matière de validation du contrôle de domaine définies par le CA/Browser Forum, des recherches évaluées par des pairs et menées par le Center for Information Technology Policy (CITP) de l'université de Princeton et d'autres organismes ont mis en évidence le risque d'attaques par le protocole BGP (Border Gateway Protocol) et le détournement de préfixes, qui aboutissent à la délivrance de certificats de manière frauduleuse. Ce risque n'était pas seulement théorique, puisqu'il a été démontré que les attaquants ont réussi à exploiter cette vulnérabilité à de nombreuses reprises, une seule de ces attaques ayant entraîné des pertes directes d'environ 2 millions de dollars.
La corroboration d...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
