La corroboration d’émission multi-perspectives (MPIC) est une amélioration de la sécurité pour l’émission de certificats numériques. Elle exige des autorités de certification (AC) qu’elles effectuent la validation de domaine et les vérifications d’autorisation d’autorité de certification (CAA) à partir de plusieurs emplacements réseau géographiquement et topologiquement distincts, plutôt qu’un seul.
Cette approche vise à atténuer le risque d’attaques sophistiquées, notamment le piratage du protocole BGP (Border Gateway Protocol), qui peuvent manipuler les méthodes traditionnelles de validation à emplacement unique.
Si vous êtes un professionnel de l’informatique, MPIC devrait vous intéresser, car il a un impact direct sur la sécurité et la fiabilité des certificats numériques utilisés pour sécuriser les sites web, les e-mails et autres services en ligne sur lesquels repose votre infrastructure informatique.
MPIC rend considérablement plus difficile pour les attaquants d’exploiter les vulnérabilités du réseau, telles que le piratage BGP ou DNS, afin d’obtenir frauduleusement des certificats pour des domaines qu’ils ne contrôlent pas. MPIC contribue à prévenir les attaques de l’homme du milieu, les violations de données et la perte de confiance dans la présence numérique de votre organisation.
MPIC devenant une exigence du secteur, les équipes informatiques devront s’assurer que leur infrastructure et leurs processus sont compatibles avec ces nouvelles normes de validation afin de maintenir la conformité et d’éviter les interruptions de service.
MPIC protège les actifs numériques de votre organisation, renforce votre sécurité et garantit la conformité aux meilleures pratiques du secteur en constante évolution.
Des recherches et des incidents réels ont montré que les attaquants peuvent exploiter les faiblesses de l’infrastructure de routage Internet (BGP) pour rediriger le trafic de validation, ce qui peut amener les autorités de certification à délivrer des certificats à des tiers non autorisés.
Cette menace est également connue sous le nom de détournement BGP, détournement de préfixe, détournement de route ou détournement d’IP. Il s’agit de la prise de contrôle illégitime de groupes d’adresses IP par corruption des tables de routage Internet à l’aide du protocole BGP (Border Gateway Protocol).
72 % des domaines étaient vulnérables aux détournements de sous-préfixes BGP, permettant aux attaquants de rediriger le trafic de validation et de tromper les autorités de certification (AC) afin qu’elles émettent des certificats frauduleux.
70 % des domaines étaient vulnérables aux attaques par préfixe identique, permettant aux adversaires d’usurper l’identité de réseaux légitimes.
Les cinq principales AC étaient vulnérables à la fraude aux certificats BGP avant même les mesures d’atténuation, comme l’ont démontré des expériences de piratage éthique.
Les incidents de détournement BGP sont très fréquents et demeurent une menace persistante pour la sécurité Internet mondiale. Des données récentes fournissent une image claire de la fréquence de ces événements :
Ces statistiques indiquent que les détournements BGP ne sont pas rares : des incidents surviennent quotidiennement et touchent un large éventail d’organisations, notamment de grandes entreprises comme MasterCard, Amazon et Google, ainsi que des opérateurs de télécommunications nationaux. Le nombre réel pourrait être encore plus élevé, car certains événements passent inaperçus ou ne sont pas signalés.
Le MPIC est en cours de normalisation par le CA/Browser Forum (CABF) et devient une exigence pour l’émission de certificats de confiance publique, notamment TLS et bientôt S/MIME.
Des autorités de certification majeures comme Let’s Encrypt et Google Trust Services ont déjà mis en œuvre des formes de MPIC, et leur application à l’échelle du secteur est prévue d’ici septembre 2025.
L’enregistrement d’autorisation d’autorité de certification DNS (CAA) a été introduit en 2013 pour prévenir l’émission de certificats non autorisés et est devenu obligatoire pour les autorités de certification publiques en septembre 2017. Cet enregistrement permet aux propriétaires de domaines de spécifier les autorités de certification autorisées à émettre des certificats pour leurs domaines, réduisant ainsi les risques d’utilisation abusive et de Shadow IT.
Si aucun enregistrement CAA n’existe pour un domaine, toute autorité de certification publique peut émettre des certificats pour ce domaine après validation standard, comme le prescrit le CA/Browser Forum.
Toutefois, si un enregistrement CAA est présent, seules les autorités de certification explicitement mentionnées dans l’enregistrement sont autorisées à émettre des certificats pour le domaine, ce qui renforce considérablement le contrôle et la sécurité.
| Fonctionnalité | Validation Traditionnelle | Validation MPIC |
|---|---|---|
| Lieu de validation | Point de réseau unique | Points multiples, distribués mondialement |
| Résistance aux attaques | Vulnérable aux détournements BGP/DNS locaux | Résistant aux attaques localisées |
| Exigence de l’industrie | Optionnel/héritage | Devenant obligatoire (Vote CABF SC-067) |
| Émission de certificat | Procède sur une seule vérification | Nécessite la corroboration de toutes les perspectives |
Tableau récapitulatif : MPIC vs. Validation Traditionnelle
La Corrélations d’Émission Multi-Perspective (MPIC) est un cadre sophistiqué conçu pour améliorer la validité et l’intégrité des échanges d’informations à travers diverses plateformes. Les principales fonctionnalités de MPIC tournent autour de trois domaines clés.
La mise en œuvre de la Corrélations d’Émission Multi-Perspective (MPIC) apporte un ensemble robuste d’avantages sécuritaires qui améliorent considérablement l’intégrité des processus d’émission de certificats. En s’appuyant sur plusieurs perspectives réseau indépendantes pour la validation, MPIC établit une nouvelle norme en matière de sécurité des certificats qui traite diverses vulnérabilités traditionnelles tout en renforçant la fiabilité globale de l’infrastructure à clé publique.
Avantages de sécurité supplémentaires :
La Corrélations d’Émission Multi-Perspective (MPIC) met en œuvre un cadre de validation sophistiqué qui s’appuie sur plusieurs points de vue réseau pour garantir la sécurité et l’authenticité des processus d’émission de certificats. Cette approche décentralisée améliore considérablement la fiabilité de la validation de domaine et aide à prévenir diverses formes d’attaques au niveau réseau.
Voici une répartition détaillée de la façon dont MPIC fonctionne :
La Validation du Contrôle de Domaine (DCV) est un élément crucial du processus d’émission de certificats, et MPIC renforce la sécurité de ces validations en appliquant son approche multi-perspective à toutes les méthodes de validation standard. En mettant en œuvre MPIC à travers diverses méthodes de DCV, les autorités de certification garantissent une validation cohérente et fiable, peu importe la technique de vérification choisie. Cette couverture complète assure que les avantages sécuritaires de la validation multi-perspective sont maintenus dans tous les scénarios d’émission de certificats.
La validation d.domaines basée sur DNS implique couramment le placement d’une chaîne de validation spécifique dans un enregistrement TXT DNS. Alternativement, un enregistrement CNAME DNS peut être utilisé pour rediriger les vérifications de validation vers un serveur web de confiance contrôlé par le demandeur de certificat, permettant des flux de validation flexibles et sécurisés.
MPIC s’applique à toutes les principales méthodes de DCV, y compris :
L’adoption de la Corrélations d’Émission Multi-Perspective (MPIC) suit un calendrier de mise en œuvre par phases établi par le CA/Browser Forum et les principaux fournisseurs de navigateurs pour équilibrer les améliorations de sécurité avec la faisabilité opérationnelle. Cette approche graduée permet aux autorités de certification (CA) et aux parties prenantes de s’adapter à leur infrastructure tout en maintenant la stabilité des écosystèmes d’émission de certificats. Le cadre d’application a été formellement ratifié dans le vote SC067v3 (août 2024) et élargi par des résolutions ultérieures du CAB Forum, la conformité totale étant requise d’ici 2025 selon les exigences de base mises à jour.
Phase de Rapport (janvier 2024 – mars 2025) :
MPIC fonctionne en mode de surveillance passive, avec les CA tenues de consigner les divergences de validation mais sans bloquer l’émission. Let’s Encrypt a commencé une mise en œuvre précoce en 2020 comme preuve de concept (selon leur publication de blog de 2020).
Phase d’Application (31 mars 2025 – en cours) :
Après la date limite imposée par Google, les certificats nécessitent une validation MPIC provenant de ≥3 perspectives réseau indépendantes. L’application pleine (≥5 perspectives) prend effet le 15 septembre 2025 selon la résolution 2024-87 du CAB Forum.
Dispositions de Période de Grâce :
Les CA peuvent émettre des certificats non conformes pour ≤5% du volume total jusqu’en juin 2026 pour accommoder les systèmes hérités, comme noté dans la documentation du CPS TLS v6.1.0 de Sectigo.
Le protocole ACME, utilisé par des agents tels que Certbot et WinACME pour automatiser l’émission de certificats, consulte toujours l’enregistrement CAA DNS avant de demander des certificats. Cela s’applique que l’autorité de certification ciblée soit publique ou privée.
Lorsque des certificats sont demandés via ACME d’une CA privée, le nom d’hôte de la CA ou son nom de domaine complètement qualifié (FQDN) doit être inclus dans l’enregistrement CAA du domaine. Cela garantit que les CAs privées se conforment également aux politiques d’autorisation CAA, empêchant l’émission de certificats non autorisés.
Cette section décrit les délais critiques pour la conformité aux normes de Corrélations d’Émission Multi-Perspective (MPIC) et la stratégie d’adoption de l’industrie.
MPIC représente une avancée significative dans la sécurisation de l’émission de certificats numériques contre les menaces émergentes au niveau réseau.
Exigences Techniques
Impact sur les Organisations
Développements Futurs
Point Clé : MPIC n’est pas seulement une mise à niveau technique mais un changement systémique dans la sécurité des certificats, nécessitant une adaptation proactive des équipes informatiques pour maintenir la conformité et contrer des attaques de plus en plus sophistiquées au niveau réseau.
Il est crucial que tous les serveurs DNS publiquement accessibles opérés par une organisation soient correctement synchronisés. Sans une synchronisation étroite, les demandes de certificats publics pourraient échouer à partir de septembre 2025 en raison de l’application des exigences de la Corrélations d’Émission Multi-Perspective (MPIC).
Les divergences dans les données DNS à travers les serveurs, y compris les enregistrements CAA et les entrées de validation de domaine DNS, posent un risque significatif pour le processus d’émission de certificats. Les organisations doivent s’assurer que les enregistrements DNS sont cohérents et mis à jour rapidement sur tous les serveurs à l’échelle mondiale pour prévenir les échecs de validation et le refus d’émission de certificats.
Notez que les systèmes de gestion de certificats tels que KeyTalk CKMS peuvent demander des certificats PKI X.509 auprès des principales Autorités de Certification publiques, y compris DigiCert et GlobalSign, et sont donc soumis aux exigences de MPIC et de synchronisation DNS.
Les organisations opérant plusieurs serveurs DNS, en particulier celles géographiquement distribuées dans des régions telles que l’Europe et l’Asie, doivent s’assurer que les enregistrements CAA et les autres entrées DNS utilisées pour la validation de domaine soient pleinement synchronisés avec des valeurs TTL (Time To Live) cohérentes et faibles. Un TTL de 300 secondes (5 minutes) ou moins est recommandé pour minimiser les délais de propagation et prévenir les incohérences qui pourraient entraîner des échecs de validation.
Sans une telle synchronisation, les différences dans les enregistrements DNS à travers les emplacements peuvent entraîner des échecs d’émission de certificats, car les validations multi-perspectives pourraient détecter des divergences et interrompre le processus.
Par exemple, un enregistrement DNS pour “domain.com” devrait être identique dans toutes les régions où les serveurs DNS opèrent, telles que l’Europe et l’Asie, pour s’assurer que les résultats de validation sont cohérents lors des vérifications multi-perspectives.
Si les enregistrements DNS sont incohérents ou non synchronisés à travers ces multiples serveurs, la probabilité que les Autorités de Certification publiques rejettent les demandes d’émission de certificats augmente considérablement.
Dans ce billet de blog, nous avons effectué un aperçu approfondi de la Corrélations d’Émission Multi-Perspective (MPIC), une norme à venir pour l’émission de certificats numériques conçue pour renforcer la sécurité contre des attaques sophistiquées au niveau réseau telles que le détournement BGP.
Les principaux points clés sont :
Conclusion : MPIC représente un changement fondamental dans la sécurité des certificats numériques. Les équipes informatiques et les organisations doivent adapter proactivement leurs systèmes pour intégrer les normes MPIC, garantissant une protection robuste contre les menaces de sécurité émergentes et s’alignant sur les meilleures pratiques de l’industrie.
Souhaitez-vous en savoir plus sur la façon dont KeyTalk peut aider votre organisation avec MPIC ? Veuillez nous contacter et nous discuterons des défis et des solutions possibles.
L’équipe KeyTalk
