Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Let's Encrypt, le trublion du HTTPS

Jérémy Lecour
June 23, 2017
Technology
0
100

Let's Encrypt, le trublion du HTTPS

Présentation faite par Jérémy Leocur et Victor Laborie de chez Evolix, à l'occasion de la conférence VVT, le 23 juin 2017.

Jérémy Lecour

June 23, 2017
Tweet

More Decks by Jérémy Lecour

See All by Jérémy Lecour
Accélération web avec HAProxy et Varnish
jlecour
0
120
HAProxyConf 2022 – Boost your web-app with HAProxy and Varnish
jlecour
0
56
La Suite ELK au service des développeurs et de la production
jlecour
0
620
Après 883 indices quotidiens, ça cherche encore et trouve sans cesse
jlecour
1
130
Test Driven (web) Configuration
jlecour
0
56
Elasticsearch - c'est plus que ça en a l'air
jlecour
0
540
Interacting with 3rd party services
jlecour
0
27
Processus et démons sous Unix/Linux
jlecour
0
32
D'une feuille blanche à une affaire rentable
jlecour
0
230

Other Decks in Technology

See All in Technology
Janus
bkuhlmann
1
490
GrafanaMeetup_AmazonManagedGrafanaのアクセス制御機能とマルチテナント環境下でのアクセス制御について
daitak
0
240
LangSmith入門―トレース/評価/プロンプト管理などを担うLLMアプリ開発プラットフォーム
os1ma
3
310
FrontDoorとWebAppsを組み合わせた際のリダイレクト処理の注意点
kenichirokimura
1
530
JAWS-UG Bedrock Claude Night
yamahiro
3
610
「スニダン」開発組織の構造に込めた意図 ~組織作りはパッションや政治ではない!~
rinchsan
3
570
アクセシビリティを考慮したUI/CSSフレームワーク・ライブラリ選定
yajihum
2
1k
障害対応をちょっとずつよくしていくための 演習の作りかた
heleeen
0
230
EMとして2023年度に頑張ったこと / What we did well in FY2023 as a EM
pauli
1
170
Google Cloud Next '24 Recap(Cloud Run/k8s)
mokocm
0
240
KubeConにproposalを送りたい人へのアドバイス
sat
PRO
3
260
非同期推論システムによるコスト削減と信頼性向上
koki_nishihara
0
260

Featured

See All Featured
Happy Clients
brianwarren
92
6.4k
A Philosophy of Restraint
colly
197
16k
How to train your dragon (web standard)
notwaldorf
73
5.2k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
14
1.5k
How GitHub Uses GitHub to Build GitHub
holman
468
290k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
2
1.3k
Faster Mobile Websites
deanohume
299
30k
Principles of Awesome APIs and How to Build Them.
keavy
121
16k
How To Stay Up To Date on Web Technology
chriscoyier
782
250k
KATA
mclloyd
15
12k
Robots, Beer and Maslow
schacon
PRO
155
7.9k
Git: the NoSQL Database
bkeepers
PRO
422
63k

Transcript

  1. LET'S ENCRYPT LET'S ENCRYPT LET'S ENCRYPT LET'S ENCRYPT LET'S ENCRYPT

    LET'S ENCRYPT LET'S ENCRYPT LET'S ENCRYPT LET'S ENCRYPT LET'S ENCRYPT LET'S ENCRYPT LET'S ENCRYPT LET'S ENCRYPT LET'S ENCRYPT LET'S ENCRYPT LET'S ENCRYPT LE TRUBLION DU HTTPS Evolix – Jérémy Lecour & Victor Laborie – VVT 2017

  2. HTTPS, TLS/SSL, CA C'EST QUOI CETTE JUNGLE ?

  3. HTTP + CHIFFREMENT = HTTPS motivé surtout par le e-commerce

    émergence du marché des certificats adoption lente entre 90's et 2010

  4. OBSTACLES À L'ADOPTION MASSIVE crypto-guerre coût CPU coût réseau technicité

    de mise en place frais d'acquisition des certificats

  5. LA DONNE CHANGE Firesheep Snowden Google HTTP/2

  6. COMMENT ÇA MARCHE ? les CA créent des clés et

    certificats racine … qui servent à signer les certificats des sites ils sont dans les navigateurs, OS, Java… ça forme un réseau de confiance en arbre

  7. Créer un web plus sécurisé, respectueux de la vie privée.

  8. PRINCIPES FONDAMENTAUX gratuit automatique sécurisé transparent ouvert collaboratif

  9. D'OÙ ÇA VIENT 2 projets fusionnés ISRG créé en 2014

    ouverture publique en novembre 2015

  10. QUI FINANCE ET CONTRÔLE ? financé à 100% par les

    dons Mozilla, EFF, Akamai, Cisco, Google Chrome, OVH… Conseils d'administration et technique variés

  11. COMMENT ENTRER DANS LA DANSE ? Ajout dans les "trust

    stores" signature croisée méfiance de l'industrie

  12. UN PEU DE TECHNIQUE

  13. LE PROTOCOLE : ACME échanges client/serveur REST + JSON conçu

    pour être un standard IETF

  14. LE CLIENT : CERTBOT client de référence, écrit en Python

    disponible sur les OS courants implémente la totalité du protocole et plus : config du serveur web …

  15. LE SERVEUR : BOULDER gère toute la partie CA, écrit

    en Go implémente la totalité du protocole

  16. COMMENT OBTENIR UN CERTIFICAT ? demande de certificat par le

    client challenge(s) de vérification par le CA création du certificat renouvellement et révocation simplissimes environnements "staging" et "production"

  17. CHALLENGES DE VÉRIFICATION ressource HTTP en clair signature dans un

    certificat TLS temporaire signature dans un enregistrement DNS

  18. DURÉE DE VIE DE 90 JOURS limiter la casse favoriser

    l'automatisation

  19. STATISTIQUES D'ADOPTION

  20. LIMITATIONS Pas de wildcard pas de OV/EV pas de support

    garanti pas de signature de code, mail…

  21. LET'S ENCRYPT CHEZ EVOLIX

  22. ADOPTION PROGRESSIVE premier tests internes ; fin 2015 prod interne

    ; début 2016 clients pilotes ; été 2016 prod clients (manuel) ; fin 2016 début de généralisation aux outils ; courant 2017

  23. CERTBOT, OU PAS certbot automatise tout scripts maison "make-csr" et

    "evoacme" certbot limité aux échanges avec la CA en cas de faille/bug de certbot, les clés sont protégées

  24. LET'S ENCRYPT ET ANSIBLE un module officiel existe, en beta

    on a fait des rôles maison, avec evoacme mise en place idempotente non triviale on est encore au stade de test

  25. MERCI MERCI MERCI MERCI MERCI MERCI MERCI MERCI MERCI MERCI

    MERCI MERCI MERCI MERCI MERCI MERCI À VOS QUESTIONS