J’ai lu que Let’s Encrypt pouvait être exploité par des pirates. C'est vrai ?
Il n’y a aucune vulnérabilité de sécurité connue dans Let’s Encrypt qui puisse être exploitée. Ce que l’on entend habituellement par menace de piratage dans ce contexte est lié au type de validation du certificat. Let’s Encrypt et de nombreux autres protocoles SSL payants sont validés par le domaine uniquement (DV). Cela signifie que pour émettre le certificat, l’AC (autorité de certification) vérifie uniquement si le demandeur du certificat est propriétaire du domaine. Si un pirate informatique parvient à acquérir l’accès (généralement par hameçonnage) à votre compte de domaine auprès de votre bureau d’enregistrement de domaines, il peut créer des sous-domaines de votre domaine et émettre des certificats de sécurité pour les sous-domaines comme s’il en était le propriétaire. C’est ce qu’on appelle l’observation de domaines et peut induire les personnes en erreur en leur indiquant qu’elles visitent votre site Web alors qu’en réalité, il s’agit d’un sous-domaine qui n’a aucun lien avec votre site.
Un type de validation plus sûr est la validation étendue (EV). Avec EV, l’identité du demandeur du certificat est également vérifiée par l’AC en plus de la propriété du domaine , même lors de l’émission d’un certificat pour un sous-domaine.