Mozilla, l'Electronic Frontier Foundation (EFF) et d'autres ont annoncé leur soutien à une institution qui s'est donnée pour but de mettre en place une nouvelle autorité de certification. Appelée Let's Encrypt, celle-ci sera chargée de fournir des certificats SSL/TLS gratuits aux propriétaires de sites web. Le nouveau CA (autorité de certification), qui devrait être opérationnel au deuxième trimestre de l'année prochaine, sera géré par le groupe de recherche sur la sécurité de l'Internet (Internet Security Research Group/ISRG), une association californienne à but non lucratif. « L'idée est de généraliser le plus possible l'usage du protocole TLS (Transport Layer Security), un successeur plus sûr au protocole SSL (Secure Sockets Layer) », a déclaré Josh Aas, directeur exécutif du Groupe de recherche sur la sécurité de l'Internet et par ailleurs stratège en technologie chez Mozilla. Le CA ne sera pas seulement chargé de fournir des certificats gratuitement, il va aussi automatiser les processus de délivrance, de configuration et de renouvellement des certificats afin d'encourager l'adoption du TLS. « Nous voulons que la délivrance des certificats soit aussi facile que possible, parce que, actuellement, c'est l'étape la plus difficile pour mettre en oeuvre le TLS », a ajouté Josh Aas. Avec le CA, « il n'y aura pas de problèmes de facturation, et il ne sera pas nécessaire de créer un compte. L'utilisateur n'a pas besoin de fournir toutes ces informations. L'essentiel, c'est qu'il puisse activer le TLS ». Le logiciel utilisé par l'autorité de certification, et les applications clientes qui aideront les utilisateurs à configurer les certificats TLS sur des serveurs web type Apache, Nginx et Microsoft IIS, seront Open Source. « Let's Encrypt veut travailler de manière transparente, et tout un chacun pourra demander à voir les documents de délivrance et de révocation des certificats », a encore déclaré Josh Aas. Certains logiciels sont disponibles en version démo depuis hier, de sorte que les gens peuvent commencer à donner leur sentiment sur ces outils et sur ce mode de fonctionnement.

2 à 3 ans pour imposer Let's Encrypt

Le directeur exécutif de l'ISRG a également annoncé hier la sortie d'une ébauche de spécification pour le protocole API qui sert à automatiser la délivrance du certificat et leur renouvellement. « L'API sera soumise à l'Internet Engineering Task Force (IETF) pour être validée en tant que standard ouvert », a-t-il précisé. Let's Encrypt se soumettra au même processus de vérification que les autres autorités de certification et se conformera aux exigences du CA/Browser Forum en matière d'émission et de gestion des certificats numériques. L'ISRG va demander à ce que le certificat root soit accepté par tous les programmes root importants comme ceux gérés par Mozilla et Microsoft, et que les navigateurs web et autres logiciels clients fassent confiance par défaut aux certificats délivrés par le CA. « Cependant, étant donné que ce processus peut prendre entre un et trois ans, les certificats root émis par Let's Encrypt seront dans un premier temps couverts par la signature d'IdenTrust, une société qui gère déjà un CA de confiance et par ailleurs l'un des principaux commanditaires du projet », a ajouté Josh Aas. Ainsi, Let's Encrypt peut commencer à émettre des certificats qui seront approuvés par la plupart des applications dès que l'autorité de certification sera opérationnelle, soit au début de l'été prochain.

D'autres entreprises comme Cisco Systems et Akamai Technologies soutiennent également le projet, et certains chercheurs de l'Université du Michigan sont également impliqués. Josh Aas pense que d'autres personnes et entreprises offriront leur soutien au projet. « Deux indicateurs vont nous permettre de mesurer le succès de Let's Encrypt: d'abord, le niveau de propagation du TLS et ensuite le changement d'attitude des utilisateurs par rapport au cryptage », a déclaré le directeur exécutif du Groupe de recherche sur la sécurité de l'Internet. « Nous espérons arriver au point où les utilisateurs attendront et exigeront que tous les sites Web qu'ils visitent soient cryptés, et pas seulement ceux de leurs banques en ligne ». Ce projet reflète une demande plus large pour un cryptage de toutes les formes de communication en ligne. Déjà, après les révélations sur la surveillance tous azimuts de l'Internet par les agences de renseignement, l'Agence américaine de sécurité nationale (NSA) ou le Government Communications Headquarters (GCHQ) anglais, les experts en sécurité et en confidentialité avaient appelé à un cryptage généralisé des communications et l'Internet Engineering Task Force a commencé à travailler sur les modalités de déploiement du TLS avec différents protocoles de communication.

Crypter ses échanges pour protéger ses données

L'an dernier, l'expert en cryptographie et en sécurité Bruce Schneier, qui a eu accès à des documents secrets divulgués par l'ancien consultant de la NSA, Edward Snowden, avait déclaré que la communauté technique devait favoriser l'usage généralisé du cryptage pour compliquer la tâche des agences d'espionnage. Selon lui, le coût induit forcerait la NSA à abandonner la collecte de données en vrac et à se recentrer sur une collecte ciblée. Cette année, Google a modifié ses algorithmes de classement de recherche pour favoriser les sites HTTPS (HTTP sécurisé). La démarche vise à encourager les webmasters à mettre en oeuvre le chiffrement TLS. L'adoption croissante du TLS pourrait pousser les attaquants à cibler de plus en plus les clés privées associées aux certificats numériques. Mais, selon Josh Aas, « ce problème est plus vaste et nécessitera une mobilisation de l'ensemble du secteur ». Let's Encrypt pourrait aussi rejoindre le CA/B Forum, une association d'éditeurs de navigateurs internet et d'autorités de certification qui élabore les lignes directrices et statue sur les meilleures pratiques pour la délivrance, la révocation et la gestion des certificats TLS et des signatures numériques.