Blog GlobalSign

18 juil. 2017

Qu’est-ce que le CA/Browser Forum et quel rôle joue-t-il sur la sécurité Internet ?

Le mois dernier, nous avons discuté de la nouvelle réglementation du CA/Browser Forum qui, à compter du 1er mars 2018, plafonnera à deux ans la durée de validité des certificats SSL/TLS, au lieu de trois. En règle générale, après une annonce concernant le CA/Browser Forum, nous recevons de nombreuses questions, du type : « Mais de quel droit me retirent-ils mes précieux certificats valables trois ans ? » Qui est cette mystérieuse « toute-puissance » à l’œuvre derrière tous ces changements ?

Le CA/Browser Forum est un consortium sectoriel qui regroupe des autorités de certification (AC) et des éditeurs de navigateurs avec pour objectif de faire évoluer « les bonnes pratiques sectorielles afin d’améliorer la manière dont les certificats peuvent être utilisés pour servir au mieux les internautes et la sécurité de leurs communications. »

Vous savez maintenant ce qu’il représente. Pour mieux comprendre son fonctionnement et les raisons derrière les changements proposés, nous nous sommes adressés à la source : Doug Beattie, VP Produit chez GlobalSign et membre actif du CA/Browser Forum ces trois dernières années.

Doug

Bonjour Doug !

Les AC et éditeurs de navigateurs composent la majorité du CA/B Forum. Quel rôle joue chacune des parties pour la sécurité de l’information sur le Web ?

Autorités de certification (AC)

Lorsqu’elles émettent les certificats, les AC doivent respecter les exigences et normes sectorielles. L’un de leurs principaux domaines d’intervention porte sur la validation des informations du certificat, le filtrage et le rejet des demandes qui semblent provenir de sites de phishing. Cela fait partie de leur processus de vérification (vetting).

Elles doivent être vigilantes vis-à-vis des entités à qui elles délivrent leurs certificats et faire en sorte de respecter les bonnes pratiques de sécurité afin d’offrir un environnement Web plus sûr et mieux sécurisé. Ces bonnes pratiques figurent dans les exigences de base qui précisent que toutes les AC doivent mettre en œuvre des vérifications pour prévenir les risques importants pour examiner de près toute demande de certificats qui éveillerait des soupçons. C’est pourquoi GlobalSign utilise un filtre anti-phishing régulièrement mis à jour en fonction de nouvelles informations. Cela explique aussi la prochaine obligation de contrôle CAA (Certificate Authority Authorization) — contrôle de la liste renseignée par les propriétaires de noms de domaines pour indiquer les AC autorisées à émettre des certificats pour leur(s) domaine(s) (note : explication détaillée de la CAA à la fin de ce billet).

Nous avons tous un rôle à jouer dans la sécurité d’Internet. Les AC doivent faire attention lorsqu’elles affirment que la sécurité sur Internet n’est pas leur problème ; qu’elles ne font qu’émettre des certificats. Ce n’est pas à elles de faire la chasse aux hackers et de les arrêter, mais elles ont indéniablement un rôle à jouer ; elles doivent faire de leur mieux pour n’émettre leurs certificats qu’à l’attention des « gentils », et pas des « méchants » (dans la mesure du possible).

Navigateurs

Les navigateurs sont la dernière ligne de défense et l’ultime interface entre les sites HTTPS et les internautes. Sur Internet, la représentation visuelle joue un rôle primordial pour la sécurité. Ces deux dernières années, la représentation visuelle des sites protégés par un certificat SSL a connu de nombreux changements, à l’image des alertes jaunes, des cadenas rouges, etc. qui ont précédé le retrait du SHA-1.

Mais les récents changements peuvent compliquer la donne ; entreprises et particuliers peuvent avoir du mal à y voir clair. J’espère que les éditeurs de navigateurs parviendront à une forme de consensus sur l’interface à adopter pour le SSL. L’objectif est que les internautes puissent reconnaître facilement les sites fiables (et que les entreprises soient capables d’identifier le niveau de SSL dont elles ont besoin).

À l’heure actuelle, lorsqu’un site utilise un certificat SSL à validation étendue (EV), les principaux navigateurs affichent généralement le nom de la société en vert dans la barre d’URL. Grâce à cette convention simple, les internautes peuvent facilement savoir quelle entreprise exploite le site, ce qui leur permet de le distinguer sans peine des sites factices ou de hameçonnage. Il faudrait, à mon avis, adopter des approches similaires pour les certificats SSL à validation de domaine (DV) et à validation de l’organisation (OV). L’harmonisation de l’interface permettrait aux utilisateurs de savoir si le site utilise un certificat DV ou OV — l’OV offrant un niveau de garantie supérieur grâce aux contrôles de validation supplémentaires nécessaires pour obtenir le certificat.

Quelles sont les modalités de collaboration de GlobalSign avec le CA/B Forum pour définir les règles et les règlements d’un Internet fiable ?

Nous ne sommes que l’un des nombreux participants à travailler sur la définition de nouvelles normes et exigences. Nous avons récemment participé activement à deux projets :

1. Méthodes de validation de domaine

Tout d’abord, nous avons activement participé à la définition et à la réactualisation des méthodes de validation de domaine qui ont été acceptées lors du vote 169. Nous avons fait partie du groupe de travail sur la validation pendant plus d’un an. En participant à la définition des méthodes de validation de domaine, nous avions pour objectif d’améliorer leur sécurité de manière globale. Nous avons renforcé la sécurité dans la liste de méthodes et supprimé la faille qui permettait aux AC de choisir, comme elles le jugeaient bon, des méthodes « équivalentes ».

2. Durée de validité maximale des certificats SSL

Nous avons également participé aux débats et votes sur la réduction de la durée de validité maximale des certificats SSL. Après un long débat, la proposition de Google de réduire la période de validité à un an a été retoquée, bien que nous comprenions l’importance de ramener les périodes de validité à une durée inférieure à trois ans.

En réponse, nous avons contribué à l’élaboration d’une proposition visant à réduire la période de validité maximale à deux ans — texte qui a récemment été voté et adopté. Nous pensons qu’il s’agit d’un bon compromis entre d’une part, les risques inhérents à une période de validité plus longue et d’autre part, l’impact d’une durée plus courte sur les entreprises qui doivent gérer leurs certificats et leurs renouvellements plus fréquents.

Qu’implique la définition de nouvelles exigences ?

Tout participant au CA/Browser Forum peut soumettre ses idées aux adhérents pour en débattre. Une fois qu’un consensus est établi autour de l’effet bénéfique sur la sécurité ou les opérations de la modification proposée, l’individu peut soumettre son texte au vote après avoir détaillé ses changements. Le problème doit donc être exposé clairement, avec une explication claire de la réponse qu’apporte le changement, et en annotant ou barrant en rouge l’exigence devenue caduque.

Après une période de débat d’au moins une semaine, la proposition est alors soumise au vote pendant toute une semaine, sous réserve d’aucune demande de changement important pendant la période de débat. Les sujets plus complexes sont souvent débattus lors des réunions en face à face organisées trois fois par an. Ces réunions offrent l’occasion de réunir physiquement un grand nombre de participants stratégiques et de discuter activement des atouts et des inconvénients, mais aussi des attentes des uns et des autres sur les changements à suggérer ou recommander.

Parmi les changements à venir, lesquels faut-il connaître ?

Pour connaître l’actualité du forum, vous pouvez suivre attentivement les initiatives et scrutins en cours ou surveiller la liste de diffusion publique.

Voici deux changements qui entreront prochainement en vigueur et que vous devez connaître :

1. L’Autorisation de l’Autorité de Certification (CAA, Certification Authority Authorization)

Premier changement : l’obligation pour les autorités de certification d’effectuer un contrôle CAA à compter du 7 septembre 2017.  Les propriétaires de noms de domaines peuvent créer un enregistrement DNS CAA dans lequel ils dressent la liste des AC à qui ils donnent l’autorisation d’émettre un ou plusieurs certificats pour les domaines concernés.

Selon ce modèle, si un ou plusieurs enregistrements CAA étai(en)t associé(s) à un nom de domaine, et qu’aucun de ces enregistrements ne désignait globalsign.com comme un émetteur de certificat autorisé, GlobalSign n’aurait pas le droit d’émettre un certificat pour ce domaine (ou sous-domaine). Les contrôles CAA existent depuis plusieurs années, mais sont facultatifs. Or, ils ne peuvent être réellement bénéfiques que s’ils sont appliqués par toutes les autorités de certification. Tant que cela ne sera pas le cas, les hackers pourront demander aux AC qui n’appliquent pas encore les contrôles CAA de leur émettre un certificat.

2. Le standard « Certificate Transparency (CT) » ou transparence des certificats

Google a demandé début 2015 que le standard de Certificate Transparency (CT) s’applique aux certificats EV, et étendra cette initiative à tous les certificats SSL à compter d’avril 2018. Initialement, la date annoncée était fixée à octobre 2017, mais elle a été récemment modifiée. Bien que ça ne soit pas une exigence du CA/B Forum, cette exigence émane des AC qui souhaitent que leurs certificats soient jugés fiables par le navigateur Google Chrome.

Ce report de six mois permettra de parfaire l’infrastructure de journalisation de la CT.  Il est arrivé qu’après leur publication, certains journaux CT ne remplissent pas leur mission. Résultat : outre la suppression du statut « qualifié » de certains certificats, certains internautes ont vu s’afficher d’inquiétants messages d’alertes sur l’absence de sécurité de certains sites.

Selon la nouvelle exigence, toute personne qui aura besoin d’un certificat SSL de confiance pour Chrome (qui détient 60 % des parts de marché) devra utiliser des certificats conformes à la politique de transparence des certificats (CT) de Google. Les entreprises qui ne souhaitent pas publier publiquement leurs certificats devront choisir la meilleure approche. Elles pourront ainsi ne pas émettre de certificat de confiance publique conforme à la politique CT de Google et leurs collaborateurs pourront ne pas utiliser la version standard de Chrome, ou alors elles pourront avoir besoin de certificats d’une hiérarchie privée. GlobalSign a la solution en cas de besoin : IntranetSSL.

Voilà, vous savez tout ce qui se trouve dans les cartons du « mystérieux » CA/Browser Forum... pas si mystérieux que ça, n’est-ce pas ? Pour en savoir plus sur le forum ou l’impact de ses exigences de base et standards, n’hésitez pas à nous interroger !

Partager ce blog