Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

VENAFI comment l’affaire Let’s Encrypt

janvier 2022 par Kevin Bocek, vice-president of security strategy and threat intelligence chez Venafi

Comme annoncé, il semble que Let’s Encrypt commence à révoquer dès aujourd’hui certains certificats SSL/TLS émis au cours des 90 derniers jours. Cela pourrait concerner des millions de certificats Let’s Encrypt actifs dans le monde entier. En cause ? Deux irrégularités lors de la mise en œuvre de la méthode de validation « TLS utilisant ALPN ».

Kevin Bocek, VP Security and Threat Intelligence chez Venafi commente :

« Let’s Encrypt a gagné en popularité auprès des développeurs au cours des dernières années, car il leur offre un moyen rapide, gratuit et facile d’émettre des identités machine TLS pour toutes sortes de services essentiels sur le Web (des sites Web aux applications des clients). Le récent rapport sur le « crawler » que nous avons fait avec Scott Helme montre que Let’s Encrypt utilise maintenant des millions de certificats actifs : sur 1 million de sites les plus populaires, 28% s’en servent. Cela signifie que lorsque Let’s Encrypt doit soudainement révoquer des millions de certificats – comme c’est le cas à l’heure actuelle – cela peut créer des bouleversements majeurs, qui mettent des services sensibles en danger de panne. Les organisations doivent alors rapidement trouver et rééditer potentiellement des dizaines de milliers d’identités machines en seulement deux jours. Il est presque impossible de le faire manuellement, et les erreurs peuvent être très coûteuses, d’autant plus que les entreprises pourraient avoir plus de 57 000 identités machines qu’elles ne connaissent même pas. Pour se protéger contre de tels événements de plus en plus fréquents, les équipes de sécurité devraient automatiser la gestion de l’identité machines. Ils pourraient ainsi éviter la rotation manuelle, le remplacement et la révocation de toutes les machines – et éviter des conséquences néfastes lorsque des erreurs de configuration comme celle de Let’s Encrypt se produisent. »




Voir les articles précédents

    

Voir les articles suivants