Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Let's Encrypt, le trublion du HTTPS

Let's Encrypt, le trublion du HTTPS

Présentation faite par Jérémy Leocur et Victor Laborie de chez Evolix, à l'occasion de la conférence VVT, le 23 juin 2017.

Jérémy Lecour

June 23, 2017
Tweet

More Decks by Jérémy Lecour

Other Decks in Technology

Transcript

  1. LET'S ENCRYPT LET'S ENCRYPT LET'S ENCRYPT LET'S ENCRYPT LET'S ENCRYPT

    LET'S ENCRYPT LET'S ENCRYPT LET'S ENCRYPT LET'S ENCRYPT LET'S ENCRYPT LET'S ENCRYPT LET'S ENCRYPT LET'S ENCRYPT LET'S ENCRYPT LET'S ENCRYPT LET'S ENCRYPT LE TRUBLION DU HTTPS Evolix – Jérémy Lecour & Victor Laborie – VVT 2017
  2. HTTP + CHIFFREMENT = HTTPS motivé surtout par le e-commerce

    émergence du marché des certificats adoption lente entre 90's et 2010
  3. OBSTACLES À L'ADOPTION MASSIVE crypto-guerre coût CPU coût réseau technicité

    de mise en place frais d'acquisition des certificats
  4. COMMENT ÇA MARCHE ? les CA créent des clés et

    certificats racine … qui servent à signer les certificats des sites ils sont dans les navigateurs, OS, Java… ça forme un réseau de confiance en arbre
  5. D'OÙ ÇA VIENT 2 projets fusionnés ISRG créé en 2014

    ouverture publique en novembre 2015
  6. QUI FINANCE ET CONTRÔLE ? financé à 100% par les

    dons Mozilla, EFF, Akamai, Cisco, Google Chrome, OVH… Conseils d'administration et technique variés
  7. COMMENT ENTRER DANS LA DANSE ? Ajout dans les "trust

    stores" signature croisée méfiance de l'industrie
  8. LE CLIENT : CERTBOT client de référence, écrit en Python

    disponible sur les OS courants implémente la totalité du protocole et plus : config du serveur web …
  9. LE SERVEUR : BOULDER gère toute la partie CA, écrit

    en Go implémente la totalité du protocole
  10. COMMENT OBTENIR UN CERTIFICAT ? demande de certificat par le

    client challenge(s) de vérification par le CA création du certificat renouvellement et révocation simplissimes environnements "staging" et "production"
  11. CHALLENGES DE VÉRIFICATION ressource HTTP en clair signature dans un

    certificat TLS temporaire signature dans un enregistrement DNS
  12. LIMITATIONS Pas de wildcard pas de OV/EV pas de support

    garanti pas de signature de code, mail…
  13. ADOPTION PROGRESSIVE premier tests internes ; fin 2015 prod interne

    ; début 2016 clients pilotes ; été 2016 prod clients (manuel) ; fin 2016 début de généralisation aux outils ; courant 2017
  14. CERTBOT, OU PAS certbot automatise tout scripts maison "make-csr" et

    "evoacme" certbot limité aux échanges avec la CA en cas de faille/bug de certbot, les clés sont protégées
  15. LET'S ENCRYPT ET ANSIBLE un module officiel existe, en beta

    on a fait des rôles maison, avec evoacme mise en place idempotente non triviale on est encore au stade de test
  16. MERCI MERCI MERCI MERCI MERCI MERCI MERCI MERCI MERCI MERCI

    MERCI MERCI MERCI MERCI MERCI MERCI À VOS QUESTIONS