Très utilisé et reconnu pour sécuriser les connexions web, le protocole de chiffrement TLS n'en reste pas moins faillible. Afin d'adresser des problèmes de sécurité permettant à un tiers mal intentionné de prendre le contrôle de certificats de sécurité, Facebook, Cloudflare et Mozilla ont uni leurs forces. Baptisé Delegated credentials, ce projet est actuellement en cours de validation auprès de l'IETF (Internet Engineering Task Force) en vue de sa standardisation. Ces identifiants délégués s'avèrent plus flexibles et permettent à des opérateurs d'attribuer à chaque serveur une information d'identification déléguée distincte avec une courte durée de validité contrairement à un certificat à clé privée traditionnel.
« Etant donné que les informations d'identification déléguées possèdent leur propre clé publique, un serveur peut également expérimenter de nouveaux algorithmes de clé publique pour TLS (y compris les clés publiques Ed25519) avant même que les autorités de certification ne la prennent en charge », a expliqué Facebook. « Dans les déploiements de serveurs modernes, un certificat pourrait être déployé et distribué dans le monde entier sur des milliers de serveurs. Il est important de garantir sa sécurité afin d’empêcher les pirates potentiels de prendre le contrôle d’un certificat, ce qui leur permettrait d’effectuer une attaque de type homme au milieu (man in the middle) sur le trafic à destination du serveur ».
Un meilleur compromis entre sécurité et fiabilité
Les informations d'identification déléguées permettent à un serveur de mieux équilibrer le compromis entre sécurité et fiabilité. « Un serveur génère une nouvelle structure d'informations d'identification déléguée contenant une clé publique et une heure d'expiration, pouvant aller jusqu'à quelques heures. Il peut ensuite utiliser son certificat signé obtenu auprès d'une autorité de certification pour signer les informations d'identification déléguées. Étant donné que ces informations d'identification déléguées sont générées et signées par un serveur, il n'est pas nécessaire de contacter l'autorité de certification chaque fois qu'elle doit créer une autre information d'identification déléguée », indique également Facebook.
Commentaire