De nouvelles récentes disant que le navigateur Chrome de Google fera moins confiance aux certificats de sécurité de la couche transport (TLS) délivrée par Symantec qu'à ceux délivrés par d'autres autorités de certification (CA) ont relancé les débats sur la manière dont la confiance est communiquée aux utilisateurs de l'Internet. Les certificats pour la sécurité de la couche transport (TLS) permettent de se fier de la sécurité des sites Web, mais l'infrastructure de gestion des clés publiques (PKI) repose sur le fait qu'il y a plus de 100 autorités de certification et que chacune peut délivrer des certificats pour authentifier un site Web. Le défi est que, pour être digne de confiance, il faut aussi bien spécifier les règles qui régissent toutes les autorités de certification que la façon de destituer les autorités de certification qui ne parviennent pas à faire respecter ces règles.
Au cours des deux dernières décennies, les fournisseurs de navigateurs comme Mozilla (Firefox), Google (Chrome), Apple (Safari) et Microsoft (Internet Explorer et Edge) ont dû devenir les arbitres de la fiabilité des autorités de certification. Chaque navigateur a ses propres politiques pour aborder les autorités de certification qui semblent ne pas respecter les exigences de fiabilité suivant la manière dont chaque fournisseur de navigateurs veut protéger ses utilisateurs. Les principaux fournisseurs de navigateurs et quelques dizaines d'autorités de certification sont membres du CA/Browser Forum . Ce groupe crée ses « exigences de base » qui décrivent les politiques que devraient suivre les autorités de certification, mais ne surveille pas ses membres. En conséquence, les fournisseurs de navigateurs doivent établir leurs propres paramètres pour évaluer la fiabilité des autorités de certification. Ceci peut conduire à des mesures d'exécution comme des restrictions de Google sur les certificats émis par Symantec et, par le passé, sur les Certificats émis par WoSign , les Certificats émis par Diginotar et autres.
Le DNSSEC est-il la réponse ?
Lors de l'apparition de ces débats, les gens évoquent souvent la sécurisation du système des noms de domaine (DNS) à travers les extensions de sécurité du système des noms de domaine (DNSSEC) comme une alternative potentielle à la PKI X.509 existante basée sur le Web. À un niveau élevé, la PKI basée sur le Web protège l'intégrité du contenu des pages Web, alors que le DNSSEC protège l'intégrité des données DNS qui peuvent conduire à ces pages Web. Mais les deux systèmes ont essentiellement des modèles différents pour faire en sorte que leurs données soient fiables. Une différence majeure entre les deux systèmes est que la PKI basée sur le Web s'appuie sur une liste de plus d'une centaine d'organisations qui doivent être entièrement fiables, alors que le DNSSEC a une ancre de confiance mondiale unique. Une autre différence substantielle est que l'authentification de la PKI basée sur le Web est effectuée par les navigateurs choisis par l'utilisateur, tandis que l'authentification du DNSSEC est effectuée par les programmes de résolution choisis par l'ordinateur de l'utilisateur.
L'ancre de confiance mondiale unique apporte des avantages connexes au DNSSEC. La communauté Internet demande une plus grande transparence dans la manière dont la confiance est gérée dans le DNS et dans la PKI basée sur le Web, et l'ICANN a répondu que cela est géré à travers un processus extrêmement ouvert, transparent et responsable. Les représentants de confiance de la communauté jouent un rôle actif dans le maintien des clés cryptographiques, participant à des cérémonies que les gens peuvent regarder soit en direct, en ligne, soit à travers des enregistrements. Les communautés techniques aident à façonner les processus qui régissent la chaîne de confiance pour le DNSSEC, y compris des contributions majeures au processus que l'ICANN utilise pour mettre à jour (ou rouler) la clé de signature de clé de la zone de racine (procédure dénommée roulement de la KSK).
La PKI basée sur le Web ne va pas disparaître prochainement, mais il est probable que l'interaction entre les navigateurs et les autorités de certification montre une évolution. En fait, il existe des mouvements pour faire en sorte que la PKI basée sur le Web interagisse avec le DNSSEC à travers l'authentification d'entités nommées basée sur le DNS (DANE), qui s'appuie sur DNSSEC. Le groupe de travail TLS du Groupe de travail de génie Internet (IETF) travaille pour permettre que les clients de la TLS réalisent l'authentification DANE de la certification d'un serveur TLS sans devoir effectuer des recherches supplémentaires d'enregistrements DNS. À la fin, cela pourrait conduire à un modèle de confiance hybride intéressant pour les navigateurs, du fait qu'il tirerait profit des points forts du modèle de confiance du DNSSEC.
Les autorités de certification évolueront
Vu l'ampleur de la PKI basée sur le Web et le nombre d'acteurs peu connus qui y interviennent, il n'est pas surprenant que les utilisateurs de l'Internet continuent à poser la question de savoir comment assurer la confiance dans le DNS. Les fournisseurs de navigateurs prendront des mesures encore plus ambitieuses pour améliorer la sécurité de leurs utilisateurs. Au fur et à mesure que le déploiement du DNSSEC augmentera, il semble probable que l'utilisation du DNSSEC pour garantir le DNS contribuera encore davantage à établir la confiance nécessaire pour permettre aux utilisateurs de l'Internet de se communiquer en toute sécurité.