Identifiants délégués pour TLS : quel est ce nouveau protocole ?
Aujourd’hui, la confidentialité et la sécurité des utilisateurs sont la priorité numéro un de nombreuses entreprises. Comme vous le savez tous, lorsque vous naviguez sur Internet, nous avons le protocole HTTPS, qui utilise le protocole TLS (Transport Layer Security) pour crypter les communications point à point. Aujourd’hui, dans RedesZone, nous allons parler d’un projet visant à améliorer la sécurité TLS, en particulier pour améliorer la politique des certificats numériques, son nom est « Delegated Credentials for TLS », c’est-à-dire des informations d’identification déléguées pour TLS.
La célèbre société Mozilla, développeur du navigateur Mozilla Firefox, en collaboration avec le réseau social Facebook, le célèbre hébergement Cloudfare, et d’autres membres de la communauté IETF (Internet Engineering Task Force), ont annoncé les spécifications techniques du nouveau protocole appelé « Delegated Credentials pour TLS », ou également connu sous le nom d’informations d’identification déléguées pour TLS.
Que sont les informations d’identification déléguées pour TLS ?
Ils constituent un nouveau moyen simple de pouvoir implémenter des certificats temporaires sans avoir à sacrifier la confiance des connexions sécurisées, c’est-à-dire une extension du protocole TLS actuel, qui vise à empêcher l’utilisation abusive de certificats volés. Pour y parvenir, l’idée est de réduire au minimum la validité des certificats, devenant valables même pour quelques heures seulement, afin de protéger les utilisateurs.
Comment TLS fonctionne actuellement
Afin de comprendre comment les nouvelles informations d’identification TLS fonctionneront, nous devons examiner leur fonctionnement actuel. Presque toutes les pages Web utilisent aujourd’hui des certificats TLS, de sorte que la connexion est sécurisée à l’aide du protocole HTTPS.
Pour qu’une page web obtienne un certificat SSL/TLS pour l’intégrer dans le serveur web et pour que le navigateur du client le reconnaisse, il est nécessaire qu’une CA (Certification Authority) délivre et signe numériquement ledit certificat, qui est valable en tant que règle générale pendant un ou deux ans. Il existe des exceptions comme la CA Let’s Encrypt qui délivre des certifications d’une durée de 3 mois seulement, mais avec un système automatisé on peut les renouveler très facilement. Lorsque nous nous connectons à une page Web en utilisant le protocole HTTPS, le serveur Web fournit le certificat SSL/TLS au navigateur, afin de confirmer son identité avant d’échanger des informations.
Pourquoi avons-nous besoin d’informations d’identification déléguées pour TLS ?
La question que vous vous poserez est donc : pourquoi avons-nous besoin d’informations d’identification déléguées pour TLS ? La réponse est que si un certificat est compromis avant son expiration, la seule chose que le webmaster gérant la page Web affectée peut faire est de demander à l’autorité de certification CA d’annuler le certificat volé et d’en créer un nouveau avec une clé publique/privée différente. paire.
Cependant, en ces temps, les mécanismes d’annulation d’un certificat divulgué ne sont pas tout à fait optimaux. Idéalement, pour tout le monde, les navigateurs pourraient détecter instantanément si le certificat n’est plus valide ou sécurisé, et le navigateur bloque automatiquement l’accès. Cependant, ce processus n’est pas instantané et il est possible que dans l’intervalle de temps entre l’annulation du certificat et la mise à jour de la base de données des certificats, nous soyons entrés sur un site Web avec un faux certificat numérique, ce qui affecterait notre sécurité et notre confidentialité.
De nombreuses entreprises et sites Web testent depuis un certain temps des certificats TLS, qui ont une validité inférieure à la «normale», pour essayer de maintenir le temps d’exposition le plus court possible. Certaines entreprises qui le font sont Facebook, de sorte qu’il est plus sûr de naviguer sur le réseau social.
Cependant, le problème est que l’autorité de certification est une organisation distincte de tous les sites Web, et un site Web qui utilise ce système de certificats de courte durée devra bien sûr obtenir de nouveaux certificats beaucoup plus fréquemment, et actuellement il n’y a aucun moyen pour les sites Web de changer continuellement de certificat toutes les quelques heures.
La solution d’informations d’identification déléguées pour TLS
La solution à ce problème est fournie par des informations d’identification déléguées pour TLS, en utilisant un nouveau protocole cryptographique qui équilibre l’équilibre entre la durée de vie et la fiabilité. Grâce aux informations d’identification déléguées pour TLS, les sites Web (entreprises) peuvent contrôler partiellement le processus de signature de nouveaux certificats pour eux-mêmes, toujours avec une limitation de validité de 7 jours maximum et ainsi ne pas dépendre d’une autorité de certification CA.
Comment ça marche
Les informations d’identification déléguées permettent aux détenteurs de certificats enregistrés d’utiliser ces certificats comme une sorte de sous-sous-AC pour les signatures de sous-certificats, dont l’autorité de certification est déléguée par le véritable certificat d’entité finale. Une façon simple de comprendre serait qu’une entreprise peut obtenir un certificat signé de son autorité de certification, et que grâce à elle elle peut générer et signer un certificat valide pour un maximum de sept jours. Pour l’utilisateur du site Web, les navigateurs compatibles avec le nouveau protocole utiliseront une clé publique d’identification déléguée de courte durée du site Web, pour établir la connexion TLS sécurisée avec le serveur Web.
La différence est donc qu’au lieu d’implémenter la clé privée réelle associée au certificat sur tous les serveurs, les entreprises peuvent désormais créer, déployer et émettre des informations d’identification déléguées en interne. L’amélioration est donnée car il est plus facile pour une entreprise qui possède un site Web de créer des informations d’identification déléguées qu’un certificat signé par une autorité de certification.
Lorsque nous nous connectons à une page Web avec un navigateur prenant en charge les informations d’identification déléguées, il n’utilisera pas le certificat TLS «normal», mais le serveur fournit plutôt un jeton de courte durée (mot de passe) au navigateur Web de l’utilisateur pour le valider.
Qui a actuellement des pouvoirs délégués
Le réseau social Facebook prend déjà en charge les identifiants délégués. Les bibliothèques cryptographiques OpenSSL et BoringSSL sont également compatibles avec les informations d’identification déléguées pour le protocole TLS. Mozilla dans son navigateur Firefox prend également en charge les informations d’identification déléguées dans sa dernière version. Cependant, il n’est pas activé par défaut pour prendre en charge cette fonctionnalité.
Bientôt, la plupart des sites Web adopteront ce protocole, car il sera adopté comme norme par l’IETF.
Comment activer les identifiants délégués dans Firefox
Comme nous l’avons mentionné, les informations d’identification ne sont pas activées par défaut dans le navigateur Mozilla Firefox, bien qu’elles soient entièrement compatibles dans sa dernière version. Pour utiliser les informations d’identification déléguées, nous devons suivre les étapes suivantes :
- Ouvrez le navigateur Mozilla Firefox et entrez ce qui suit dans la barre de recherche : about : config
- Cliquez sur J’accepte le risque.
- Une liste d’options apparaîtra et nous devons rechercher security.tls.enable_delegated_credentials
- Nous devons double-cliquer sur security.tls.enable_delegated_credentials et changer la valeur en True
- Une fois modifié, nous fermons le navigateur et le rouvrons.
Pour vérifier qu’il fonctionne correctement, nous pouvons aller sur le lien suivant où il nous montrera s’il fonctionne correctement.
Conclusions sur les pouvoirs délégués pour TLS
Les informations d’identification déléguées pour TLS constituent une percée en matière de sécurité et de fiabilité pour les utilisateurs et les entreprises. Grâce à cela, bien que n’éliminant pas qu’un certificat puisse être falsifié, nous pouvons être plus sereins, car dès que le problème est détecté, un nouveau certificat sera rapidement émis afin que la confidentialité soit garantie.
Si vous utilisez le navigateur Mozilla Firefox, activez l’option » Identifiants délégués pour TLS » afin que, lorsque les pages Web commencent à l’utiliser, vous soyez parfaitement préparé. Espérons que dans peu de temps, ces certificats remplaceront les certificats actuels qui, bien qu’ils soient sûrs, s’ils sont falsifiés, peuvent induire les utilisateurs en erreur.
Nous vous recommandons d’accéder au blog Cloudflare où ils en parlent, ainsi qu’au Telefónica Blogthinkbig où Sergio De Los Santos en parle.