Let's Encrypt, le trublion du HTTPS

Slide 1

Slide 1 text

LET'S ENCRYPT LET'S ENCRYPT LET'S ENCRYPT LET'S ENCRYPT LET'S ENCRYPT LET'S ENCRYPT LET'S ENCRYPT LET'S ENCRYPT LET'S ENCRYPT LET'S ENCRYPT LET'S ENCRYPT LET'S ENCRYPT LET'S ENCRYPT LET'S ENCRYPT LET'S ENCRYPT LET'S ENCRYPT LE TRUBLION DU HTTPS Evolix – Jérémy Lecour & Victor Laborie – VVT 2017

Slide 2

Slide 2 text

HTTPS, TLS/SSL, CA C'EST QUOI CETTE JUNGLE ?

Slide 3

Slide 3 text

HTTP + CHIFFREMENT = HTTPS motivé surtout par le e-commerce émergence du marché des certificats adoption lente entre 90's et 2010

Slide 4

Slide 4 text

OBSTACLES À L'ADOPTION MASSIVE crypto-guerre coût CPU coût réseau technicité de mise en place frais d'acquisition des certificats

Slide 5

Slide 5 text

LA DONNE CHANGE Firesheep Snowden Google HTTP/2

Slide 6

Slide 6 text

COMMENT ÇA MARCHE ? les CA créent des clés et certificats racine … qui servent à signer les certificats des sites ils sont dans les navigateurs, OS, Java… ça forme un réseau de confiance en arbre

Slide 7

Slide 7 text

Créer un web plus sécurisé, respectueux de la vie privée.

Slide 8

Slide 8 text

PRINCIPES FONDAMENTAUX gratuit automatique sécurisé transparent ouvert collaboratif

Slide 9

Slide 9 text

D'OÙ ÇA VIENT 2 projets fusionnés ISRG créé en 2014 ouverture publique en novembre 2015

Slide 10

Slide 10 text

QUI FINANCE ET CONTRÔLE ? financé à 100% par les dons Mozilla, EFF, Akamai, Cisco, Google Chrome, OVH… Conseils d'administration et technique variés

Slide 11

Slide 11 text

COMMENT ENTRER DANS LA DANSE ? Ajout dans les "trust stores" signature croisée méfiance de l'industrie

Slide 12

Slide 12 text

UN PEU DE TECHNIQUE

Slide 13

Slide 13 text

LE PROTOCOLE : ACME échanges client/serveur REST + JSON conçu pour être un standard IETF

Slide 14

Slide 14 text

LE CLIENT : CERTBOT client de référence, écrit en Python disponible sur les OS courants implémente la totalité du protocole et plus : config du serveur web …

Slide 15

Slide 15 text

LE SERVEUR : BOULDER gère toute la partie CA, écrit en Go implémente la totalité du protocole

Slide 16

Slide 16 text

COMMENT OBTENIR UN CERTIFICAT ? demande de certificat par le client challenge(s) de vérification par le CA création du certificat renouvellement et révocation simplissimes environnements "staging" et "production"

Slide 17

Slide 17 text

CHALLENGES DE VÉRIFICATION ressource HTTP en clair signature dans un certificat TLS temporaire signature dans un enregistrement DNS

Slide 18

Slide 18 text

DURÉE DE VIE DE 90 JOURS limiter la casse favoriser l'automatisation

Slide 19

Slide 19 text

STATISTIQUES D'ADOPTION

Slide 20

Slide 20 text

LIMITATIONS Pas de wildcard pas de OV/EV pas de support garanti pas de signature de code, mail…

Slide 21

Slide 21 text

LET'S ENCRYPT CHEZ EVOLIX

Slide 22

Slide 22 text

ADOPTION PROGRESSIVE premier tests internes ; fin 2015 prod interne ; début 2016 clients pilotes ; été 2016 prod clients (manuel) ; fin 2016 début de généralisation aux outils ; courant 2017

Slide 23

Slide 23 text

CERTBOT, OU PAS certbot automatise tout scripts maison "make-csr" et "evoacme" certbot limité aux échanges avec la CA en cas de faille/bug de certbot, les clés sont protégées

Slide 24

Slide 24 text

LET'S ENCRYPT ET ANSIBLE un module officiel existe, en beta on a fait des rôles maison, avec evoacme mise en place idempotente non triviale on est encore au stade de test

Slide 25

Slide 25 text

MERCI MERCI MERCI MERCI MERCI MERCI MERCI MERCI MERCI MERCI MERCI MERCI MERCI MERCI MERCI MERCI À VOS QUESTIONS