DON'T PANIC.
(Je suis en train de lire "The hitch-hiker's guide to the galaxy" de Douglas
Adams, livre que j'ai rapporté de mon séjour à Londres le weekend dernier ; je
me régale.)
Le sujet de ce post reprend une communication qui m'a valu de vives réactions
pour certaines très sympathiques. Ce commentaire était mal formulé, il fallait
lire "La mise à jour automatique des certificats LE est /potentiellement/ un
cheval de Troie".
Alors non, les certificats LE ne sont pas dangereux, évidemment !
Je m'en suis d'ailleurs beaucoup servi dès que c'était disponible ou presque
(début 2017) mais uniquement sur des blogs WordPress installés tout seuls sur
des VPS, c'est à dire pour des informations publiques sans données sensibles et
dans un contexte sans importance. De toute façon les mises à jour automatiques
de WordPress sont à peine moins fiables :-) Hé, pas taper si vous n'êtes pas
d'accord !
A lire mes notes, la mise en œuvre des certificats LE était effectivement super
simple sauf qu'il y avait dans le crontab :
32 6 * * 0 /root/certbot-auto renew -q
Apparemment, il n'est plus nécessaire de renouveler le certificat avec root (et
peut-être est-ce que cela a toujours été le cas) quoique sinon je ne vois pas
comment concilier ça avec la gestion d'un serveur web qui appartiennent à root.
Oui, je sais qu'il serait possible de configurer un serveur apache hors root
mais ce n'est pas standard, notamment parce que seul root peut accéder aux ports
80 ou 443.
Quoiqu'il en soit, avoir un script obscur qui revoit potentiellement la
configuration de mon serveur toutes les semaines, cela ne me plait pas. Je n'ai
pas cherché plus loin et j'ai profité des certificats LE pour des contextes sans
conséquences. Ce qui ne veut pas dire que l'on ne peut pas utiliser les
certificats LE pour des cas autres que ceux où il n'y a pas d'enjeu…
J'ai aussi une préférence et une grande confiance a priori dans les produits du
logiciel libre (mais pas parce qu'ils sont "revus"). Je les utilise évidemment
le plus possible mais j'ai suffisamment d'expérience en développement logiciel
(à peu près 40 ans…) pour savoir à quel point il est plus facile de produire du
code malveillant que des traitements fiables et robustes y compris pour les cas
limites.
Donc pour le cas de l'alternative entre un certificat d'une dizaine d'euros
annuel et l'hébergement d'un processus hebdomadaire et /potentiellement/
faillible, personnellement, le choix est vite fait. D'autant que je n'ai qu'une
petite poignée de certificat SSL à gérer. Oui, cela change tout.
Pour ce qui est de chiffrer les échanges avec un serveur web, tous les
certificats se valent qu'ils soient auto-signés, wildcards, gratuits ou payants,
même très chers. A la base, une clé publique c'est juste le produit de deux
nombres premiers si grands que sa factorisation prendrait a priori un temps
infini par rapport aux calculs modulo n dans un corps Z/nZ avec n premier qui
sont faits pour chiffrer et déchiffrer les échanges… d'une clé symétrique qui
sera exploité ensuite. Le recours aux clés asymétriques a simplement déplacé le
problème : au lieu d'avoir à assurer le partage confidentiel d'une clé
symétrique, il faut s'assurer qu'une clé publique appartient bien à celui qui
prétend en être le propriétaire. C'est là où les CA interviennent et
l'opportunité d'en faire un racket. Racket soutenu par l'obligation artificielle
de tout chiffrer. Pour cela la disponibilité des certificats LE est
effectivement une bénédiction !
Car non, en vrai cela ne sert à rien de chiffrer une recette d'Irish coffe
partagée sur un blog, à part pour lui éviter d'être totalement ostracisée par
ggl. Quant à chiffrer une librairie JS publique, je n'y avais jamais pensé mais
je n'en vois pas non plus l'intérêt, d'autant moins que sous couvert de
minimisation (mais en vrai pour les protéger d'une réutilisation) la plupart des
librairies JS sont quasiment illisibles :-) Par contre conforter l'origine d'une
librairie externe par la validation d’authenticité d'un CA est effectivement
intéressant mais ce n'est pas le certificat du site qui l'utilise qui le fait.
Ah et sinon, pour répondre à la remarque du petit jeune qui m'a gentiment dit
d'arrêter de raconter n'importe quoi sur des sujets que je ne connais
manifestement pas, je dirais qu'il a au moins à moitié tort. L'expérience a ceci
de particulier qu'il ne me rattrapera jamais pour ce qui est de la durée sur
laquelle je l'ai accumulée ; je serai certainement mort avant :-))
_______________________________________________
Liste de diffusion du %(real_name)s
http://www.frsag.org/
