Nouvelles technologies de sécurité et nouveau certificat
Créé le 01.April 2016, 19:00 | Catégorie : Info
Chers clients,
chers visiteurs,
nous aimerions vous présenter quelque nouvelles technologies de sécurité chez Posteo. Nous avons commencé à utiliser la technologie « Certificate Transparency ». De plus, nous prenons en charge depuis quelques semaines les technologies toutes récentes « Certification Authority Authorization (CAA) » et « HTTP Public Key Pinning (HPKP) ». Grâce à ces technologies, nous améliorons encore plus la sécurité de Posteo pour vous.
Pour vous, rien ne change. Vous n’avez rien à faire de particulier. Nous souhaitons cependant vous donner un aperçu dans cet article de la façon dont nous protégeons vos données avec Posteo.
Certificate Transparency : aucune chance pour les falsificateurs de certificats de sécurité
Grâce à Certificate Transparency, nous surveillons automatiquement et dans le monde entier si des personnes non autorisées (des criminels ou les services secrets) tentent de se faire passer pour Posteo et ainsi de falsifier des certificats de sécurité de nos domaines Posteo. Jusqu’à maintenant, il était très improbable qu’un organisme de certification identifie à tort des personnes non autorisées comme étant Posteo. En effet, nous utilisons depuis de nombreuses années un certificat élargi (certificat EV). Ces certificats ne sont délivrés que sous présentation de divers documents. Mais les criminels et les services secrets tentent de se faire passer pour des tiers via des certificats falsifiés. Par exemple, pour attirer des clients de portails internet sur des pages falsifiées, dites de phishing, et leur subtiliser leurs données d’accès. Ou encore pour s’insérer dans une conversation comme « homme du milieu ».
Grâce à cette nouvelle technologie, nous évaluons 24 heures sur 24, en temps réel, si quelqu’un tente de manipuler nos certificats et pouvons ainsi réagir immédiatement, dans l’idéal, avant qu’un pirate ne puisse effectuer sa tentative de fraude. Il n’est plus nécessaire de se fier aux organismes de certification pour la délivrance de certificats : avec cette nouvelle technologie, les services internet tels que Posteo peuvent vérifier eux-mêmes si un organisme de certification a délivré à tort un certificat à une personne non autorisée.
Nouveau certificat suite à ces changements
Afin de pouvoir prendre en charge les nouvelles technologies de sécurité, nous commencerons en avril à utiliser un certificat supplémentaire de Geotrust. Cet organisme de certification prend déjà ces nouvelles technologies en charge. Ceux qui le souhaitent trouveront les empreintes digitales de tous les certificats (une série de signes grâce à laquelle la validité d’un certificat peut être vérifié) dans nos mentions légales, dès à présent. Vous ne devez rien faire de particulier. Si votre programme vous signale une erreur lors du changement de certificat, redémarrez votre programme, cela devrait résoudre le problème.
La nouvelle technologie de sécurité Certification Authority Authorization (CAA) mise en place depuis déjà quelques semaines
Nous utilisons également une autre technologie de sécurité liée aux certificats depuis quelques semaines déjà :
Certification Authority Authorization (CAA). La CAA est une technique toute récente, encore peu diffusée. Grâce à cette dernière, nous avons déposé dans le DNS (le registre central de demande d’Internet) quels organismes de certification sont autorisés à produire des certificats pour nos domaines. Cette technique est encore très récente, c’est pourquoi les organismes de certification ne sont pas encore obligés de s’y tenir. Cependant, nous pensons que ces indications sont déjà utiles : nous voulons montrer ce qui est possible aujourd’hui techniquement et espérons que de nombreux opérateurs de télécommunication et organismes de certification utiliseront la CAA très prochainement. Cette technologie peut rendre l’utilisation d ‘internet globalement plus sûre et contribuer à réduire le risque de certificats falsifiés.
Les organismes de certification allemands dotés de Certificate Transparency ne sont pas encore adaptés
Pour l’instant, il est en pratique impossible pour des serveurs de messagerie comme Posteo d’utiliser des certificats d’organismes de certification allemands comme certificat principal.
Certains appareils ou programmes très répandus ne connaissent pas encore des entreprises comme D-Trust (Bundesdruckerei). Si un fournisseur de messagerie utilise tout de même un certificat provenant d’un organisme de certification « inconnu », cela provoquera, si le nombre de clients est important, l’arrivée perpétuelle de messages d’erreur. Les programmes prétendent que l’on ne peut pas se fier aux certificats utilisés. En ce qui concerne la prise en charge de nouvelles technologies de sécurité, il y a aussi de très nombreux progrès à faire : le Telekom Trust Center (TeleSec), l’organisme de certification de Deutsche Telekom AG, ne prévoit pas – d’après nos sources – d’utiliser Certificate Transparency. Ces problèmes liés aux organismes de certification allemands ne seront résolus qu’au cours des prochaines années, si tant est qu’ils soient résolus un jour. Une des conditions serait que les organismes de certification allemands se chargent de faire reconnaître comme fiable ce qu’on appelle leurs certificats racine par tous les appareils et programmes de nouvelle génération.
Informations supplémentaires pour les spécialistes sur les autres technologies de sécurité chez Posteo
- Nous utilisons toujours pour chaque domaine au moins deux certificats de type Extended Validation à égalité. En cas de problème avec un organisme de certification, nous pouvons passer à l’autre certificat immédiatement, sans occasionner de gêne pour nos clients.
- Nous utilisons HPKP (HTTP Public Key Pinning) afin de forcer les navigateurs à n’accepter que nos certificats.
- Nous utilisons DANE afin que d’autres services de messagerie, navigateurs ou programmes, puissent vérifier nos certificats via une requête DNS infalsifiable.
Bien à vous
L’équipe Posteo