Let's Encrypt, le trublion du HTTPS

Let's Encrypt, le trublion du HTTPS

Présentation faite par Jérémy Leocur et Victor Laborie de chez Evolix, à l'occasion de la conférence VVT, le 23 juin 2017.

7d1caf9df777b3b2cf474ff743494335?s=128

Jérémy Lecour

June 23, 2017
Tweet

Transcript

  1. LET'S ENCRYPT LET'S ENCRYPT LET'S ENCRYPT LET'S ENCRYPT LET'S ENCRYPT

    LET'S ENCRYPT LET'S ENCRYPT LET'S ENCRYPT LET'S ENCRYPT LET'S ENCRYPT LET'S ENCRYPT LET'S ENCRYPT LET'S ENCRYPT LET'S ENCRYPT LET'S ENCRYPT LET'S ENCRYPT LE TRUBLION DU HTTPS Evolix – Jérémy Lecour & Victor Laborie – VVT 2017
  2. HTTPS, TLS/SSL, CA C'EST QUOI CETTE JUNGLE ?

  3. HTTP + CHIFFREMENT = HTTPS motivé surtout par le e-commerce

    émergence du marché des certificats adoption lente entre 90's et 2010
  4. OBSTACLES À L'ADOPTION MASSIVE crypto-guerre coût CPU coût réseau technicité

    de mise en place frais d'acquisition des certificats
  5. LA DONNE CHANGE Firesheep Snowden Google HTTP/2

  6. COMMENT ÇA MARCHE ? les CA créent des clés et

    certificats racine … qui servent à signer les certificats des sites ils sont dans les navigateurs, OS, Java… ça forme un réseau de confiance en arbre
  7. Créer un web plus sécurisé, respectueux de la vie privée.

  8. PRINCIPES FONDAMENTAUX gratuit automatique sécurisé transparent ouvert collaboratif

  9. D'OÙ ÇA VIENT 2 projets fusionnés ISRG créé en 2014

    ouverture publique en novembre 2015
  10. QUI FINANCE ET CONTRÔLE ? financé à 100% par les

    dons Mozilla, EFF, Akamai, Cisco, Google Chrome, OVH… Conseils d'administration et technique variés
  11. COMMENT ENTRER DANS LA DANSE ? Ajout dans les "trust

    stores" signature croisée méfiance de l'industrie
  12. UN PEU DE TECHNIQUE

  13. LE PROTOCOLE : ACME échanges client/serveur REST + JSON conçu

    pour être un standard IETF
  14. LE CLIENT : CERTBOT client de référence, écrit en Python

    disponible sur les OS courants implémente la totalité du protocole et plus : config du serveur web …
  15. LE SERVEUR : BOULDER gère toute la partie CA, écrit

    en Go implémente la totalité du protocole
  16. COMMENT OBTENIR UN CERTIFICAT ? demande de certificat par le

    client challenge(s) de vérification par le CA création du certificat renouvellement et révocation simplissimes environnements "staging" et "production"
  17. CHALLENGES DE VÉRIFICATION ressource HTTP en clair signature dans un

    certificat TLS temporaire signature dans un enregistrement DNS
  18. DURÉE DE VIE DE 90 JOURS limiter la casse favoriser

    l'automatisation
  19. STATISTIQUES D'ADOPTION

  20. LIMITATIONS Pas de wildcard pas de OV/EV pas de support

    garanti pas de signature de code, mail…
  21. LET'S ENCRYPT CHEZ EVOLIX

  22. ADOPTION PROGRESSIVE premier tests internes ; fin 2015 prod interne

    ; début 2016 clients pilotes ; été 2016 prod clients (manuel) ; fin 2016 début de généralisation aux outils ; courant 2017
  23. CERTBOT, OU PAS certbot automatise tout scripts maison "make-csr" et

    "evoacme" certbot limité aux échanges avec la CA en cas de faille/bug de certbot, les clés sont protégées
  24. LET'S ENCRYPT ET ANSIBLE un module officiel existe, en beta

    on a fait des rôles maison, avec evoacme mise en place idempotente non triviale on est encore au stade de test
  25. MERCI MERCI MERCI MERCI MERCI MERCI MERCI MERCI MERCI MERCI

    MERCI MERCI MERCI MERCI MERCI MERCI À VOS QUESTIONS