La bibliothèque ÃÛÌÒTV de validation du contrôle de domaine (DCV) permet à la communauté WebPKI de réduire les problèmes de conformité et de simplifier le processus de validation. Toutes les méthodes de validation de domaine (DV) hors protocole ACME sont disponibles dans la bibliothèque en openÌýsource.
La validation du contrôle de domaine (ou validation de domaine) est un processus qu’utilisent les autorités de certification (AC) publiques pour vérifier que la personne ou l’organisation effectuant une demande de certificat TLS/SSL contrôle bien le domaine pour lequel le certificat est émis. Il s’agit d’une étape fondamentale et essentielle du processus d’émission de certificats TLS/SSL. Elle garantit que seules les personnes ou entités ayant un contrôle légitime sur un domaine se voient remettre un certificat pour ledit domaine.
Le CA/Browser Forum a spécifié les à respecter pour valider les droits de propriété ou de contrôle d’un demandeur de certificat sur un domaine donné. Ces exigences regroupent une série de mesures s’appuyant sur diverses technologies (messagerie électronique, vérification des enregistrements DNS, vérification HTTP/HTTPS, etc.).
Ìý
La validation de domaine est un processus essentiel de vérification du propriétaire légitime d’un domaine. Des failles dans ce processus peuvent entraîner l’émission accidentelle de certificats à des acteurs malveillants, lesquels n’hésiteront pas à exploiter cette ±¹³Ü±ô²Ôé°ù²¹²ú¾±±ô¾±³Ùé pour commettre des fraudes, mener des campagnes de phishing et lancer des attaques par malware.
En mettant ces bibliothèques à la disposition de la communauté pour une évaluation approfondie et une amélioration continue, nous donnons à toutes les autorités de certification les moyens de maintenir la qualité du processus de validation de domaine.
Tout le monde peut accéder à la bibliothèque DCV
de ÃÛÌÒTV et contribuer au développement
de son code via GitHub.
Pourquoi ÃÛÌÒTV n’utilise pas la validation ACME dans ce processusÌý?
Sous quelle licence openÌýsource le code est-il publiéÌý?
Comment participer à ce projetÌý?
Quels langages de programmation et architectures sont utilisés dans le codeÌý?
Au départ, nous sommes partis du principe que les bibliothèques Let’s Encrypt ACME étaient suffisantes. Toutefois, beaucoup de membres de la communauté nous ont fait part de leur intérêt concernant notre implémentation ACME. Il se peut donc que nous ajoutions ce code ultérieurement. Notre prise en charge d’ACME est totale et tous les clients ÃÛÌÒTV y ont accès par défaut.
Nous avons publié le code sous la licence MIT, réputée pour son niveau d’autorisation élevé. Tout le code généré peut être utilisé, modifié, distribué, voire revendu, librement et sans attribution, à condition d’y inclure la mention de droit d’auteur.
Le projet est hébergé sur GitHub. Cliquez y accéder.
Le projet est implémenté en Java et repose sur une architecture containerisée. Nous avons opté pour les containers pour diverses raisons, notamment dans l’optique d’une prise en charge future de la validation multi-perspective (MPV).
pkilint est un linter de certificats openÌýsource; c’est-à -dire un logiciel permettant de détecter des erreurs ou problèmes de conformité sur les certificats ²Ô³Ü³¾Ã©°ù¾±±ç³Ü±ðs. Le linter s’appuie sur l’automatisation pour analyser et signaler rapidement d’éventuels problèmes, soit pendant le processus d’émission du certificat, soit pour vérifier la conformité de vastes portefeuilles de certificats précédemment émis.
Le framework pkilint de ÃÛÌÒTV peut être adapté à tous les types de certificats pour effectuer des tests de conformité aux standards régissant les formats de certificats ²Ô³Ü³¾Ã©°ù¾±±ç³Ü±ðs.
pkilint est le fruit de l’expérience pratique de ÃÛÌÒTV, née de l’utilisation de linters sur de très vastes portefeuilles de certificats. Il offre plusieurs avantages conséquents par rapport aux approches existantesÌý:
En plus de pkilint, ÃÛÌÒTV a récemment lancé un outil OSS nommé qui permet aux utilisateurs de générer des certificats de test conformes aux différents profils de certificat définis dans les exigences S/MIME de base.
Puis-je utiliser le linter de certificats sur mon ordinateur localÌý?
Quelles sont les perspectives d’évolution de pkilintÌý?
Qu’est-ce que la PKIÌý?
Pour effectuer une vérification de certificat sur votre ordinateur local, .
Le framework pkilint peut être facilement étendu à d’autres types de certificats ²Ô³Ü³¾Ã©°ù¾±±ç³Ü±ðs et aspects des structures PKI, tels que les implémentations CRL et OCSP. ÃÛÌÒTV prévoit également de l’utiliser pour intégrer des linters appliquant les changements introduits par leÌýÌýconcernantÌýles profils de certificats TLSÌý. Les développeurs qui souhaitent contribuer au projet peuvent se rendre sur la page dédiée de GitHub. Pour en savoir plus, consultez le .
L’infrastructure à clés publiques (PKI) repose sur un ensemble de processus, de technologies et de politiques qui permettent de chiffrer et de signer des données. Vous pouvez alors émettre des certificats ²Ô³Ü³¾Ã©°ù¾±±ç³Ü±ðs pour l’authentification de vos utilisateurs, de vos appareils et de vos services. Une infrastructure PKI publique qui repose sur le standard S/MIME sert à émettre des certificats TLS/SSL publics, à savoir des certificats ²Ô³Ü³¾Ã©°ù¾±±ç³Ü±ðs destinés à des domaines ou des serveurs web publics, et qui peuvent être consultés et enregistrés publiquement.