Multi-Perspective Issuance Corroboration: qu’est-ce qui change concrètement?

Pour les certificats TLS (SC-067)

Les CA doivent effectuer la Domain Control Validation et la Certificate Authority Authorization depuis au moins deux Distinct Remote Network Perspectives géographiquement éloignées d’au moins 500 kilomètres l’une de l’autre. Les TLS Baseline Requirements ont été mises à jour vers la v2.0.5.

Augmentation progressive des Remote Perspectives :

• 15 septembre 2025: au moins 2 Remote Perspectives

• 15 mars 2026: au moins 3 Remote Perspectives

• 15 juin 2026: au moins 4 Remote Perspectives

• 15 décembre 2026: au moins 5 Remote Perspectives

Pour les certificats S/MIME (SMC-010)

Les certificats S/MIME reprennent les mêmes exigences MPIC que les TLS Baseline Requirements. Depuis septembre 2024, SwissSign vérifie également les entrées CAA pour les certificats d’e-mail. Les S/MIME Baseline Requirements ont été mises à jour vers la v1.0.8.

Mesures à prendre pour les utilisateurs de certificats

Impact: faible

Clients SwissSign: aucune adaptation nécessaire. MPIC est une exigence côté CA qui fonctionne de manière transparente pour les configurations standard.

• Si vous utilisez des configurations réseau standard: aucune adaptation nécessaire.

• Si vous gérez des listes blanches d’IP pour les serveurs de validation: vérifiez si l’accès est possible depuis plusieurs régions géographiques.

• Si vous utilisez le géoblocage ou des résolutions DNS limitées géographiquement: les enregistrements DNS et les terminaux de validation HTTP doivent être accessibles depuis au moins deux régions RIR. Risque en cas de blocage global en dehors de votre région d’origine.

• Si vous utilisez des CAA Records: les recherches CAA se font désormais à partir de plusieurs emplacements, assurez-vous que votre infrastructure DNS fournit des réponses globalement cohérentes.

Ce que vous devez faire dès à présent

• Vérifiez vos règles de pare-feu et vos listes blanches d’IP : les requêtes de validation provenant d’au moins deux régions RIR différentes sont-elles autorisées?

• Testez votre résolution DNS à partir de différents emplacements géographiques (Europe, Amérique du Nord, Asie) : fournit-elle des résultats cohérents?

• Si vous utilisez un CDN ou une protection DDoS : assurez-vous que les validations ACME HTTP-01 ne sont pas bloquées.

Contexte du ballot: protection contre le détournement BGP

État actuel: traditionnellement, les CA valident le contrôle de domaine à partir d’un seul emplacement réseau. Les pirates peuvent exploiter des détournements BGP localisés pour manipuler les réponses DNS et les validations de domaines afin d’obtenir de manière non légitime des certificats pour des domaines tiers.

Problème/facteur déclencheur: des attaques documentées comme l’incident KlaySwap (2022) et le piratage du pont Celer (2022) montrent que le détournement BGP est une menace réelle. Dans les deux cas, les pirates ont obtenu des certificats SSL/TLS valides pour des domaines tiers via un routage manipulé, qu’ils ont ensuite utilisé pour lancer des attaques de type « man-in-the-middle » sur des connexions HTTPS cryptées. Résultat : le vol de cryptomonnaies pour un montant de plusieurs millions.

Les mécanismes de sécurité de routage comme RPKI protègent uniquement contre les détournements BGP globaux, mais pas contre des attaques localisées utilisant des routes équivalentes ou plus spécifiques. Des recherches menées par l’Université de Princeton ont démontré la faisabilité de telles attaques et ont poussé le CA/B Forum à agir.

Contexte: Let’s Encrypt et Google Trust Services utilisent déjà MPIC à l’échelle de plusieurs millions de certificats et en démontrent la faisabilité technique.

Principes de base de la validation multiperspective

Qu’est-ce que la Multi-Perspective Issuance Corroboration?

MPIC implique que les CA doivent effectuer les validations de domaine et les vérifications CAA depuis plusieurs emplacements réseau géographiquement et topologiquement distincts.

Fonctionnement:

• La CA effectue la validation à partir de son infrastructure principale.

• Au moins deux autres Remote Perspectives (à partir de mars 2026 : au moins trois, à partir de juin 2026: au moins quatre, à partir de décembre 2026 : au moins cinq) répètent la validation.

• Les Remote Perspectives doivent être géographiquement éloignées d’au moins 500 kilomètres l’une de l’autre.

• Le certificat n’est délivré que si toutes les perspectives concordent.

Qu’est-ce qu’un détournement BGP?

Le Border Gateway Protocol (BGP) est le protocole de routage d’Internet, il détermine le chemin emprunté par les paquets de données sur Internet. Lors d’un détournement BGP, un pirate annonce à tort qu’il contrôle la meilleure route vers une plage d’adresses IP spécifique. Les autres réseaux croient cette annonce et redirigent le trafic vers le pirate plutôt que vers la destination légitime.

Comment le détournement BGP compromet l’émission des certificats:

• La CA veut valider le domaine «bank.example»

• La CA envoie une requête DNS : «Quelle est l’adresse IP de bank.example ?»

• Le pirate a activé un détournement BGP → la requête DNS est redirigée vers le pirate

• Le pirate répond avec une adresse IP qu’il contrôle

• La CA valide le domaine avec succès… mais par rapport à l’IP du pirate

• La CA émet un certificat pour «bank.example» au profit du pirate

• Le pirate peut désormais effectuer des attaques de type man-in-the-middle sur des connexions HTTPS

Deux types de détournement BGP:

Détournements mondiaux:

• Affectent l’ensemble d’Internet

• Sont relativement faciles à détecter (de nombreux réseaux remarquent l’anomalie)

• La validation RPKI protège contre ce type d’attaque

Détournements localisés (les plus dangereux):

• Ne concernent que des régions limitées géographiquement

• Très difficiles à identifier, car seule une partie d’Internet est affectée

• RPKI ne protège PAS contre ce type d’attaque

• C’est précisément contre ce type de détournement que MPIC apporte une protection efficace

Exemples concrets:

• Incident KlaySwap (2022): des pirates ont utilisé le détournement BGP pour obtenir des certificats TLS pour la plateforme crypto KlaySwap. À l’aide des faux certificats, ils ont lancé des attaques de type man-in-the-middle et dérobé des cryptomonnaies.

• Piratage du pont de Celer (2022): attaque similaire sur un pont de blockchain. Le détournement BGP a permis l’émission de certificats non légitimes, suivi d’attaques de type man-in-the-middle sur des connexions cryptées.

Que sont les Network Perspectives ?

Une perspective réseau est un système ou un ensemble de composants réseau qui envoie du trafic Internet sortant pour les validations de domaine et les vérifications CAA. La position est déterminée par le point où le trafic non encapsulé est transmis pour la première fois à l’infrastructure Internet.

Important : des résolveurs DNS récursifs doivent être utilisés, les requêtes directes aux serveurs de noms faisant autorité ne sont pas autorisées.

Qu’est-ce qu’un modèle de quorum ?

Selon le nombre de Remote Perspectives utilisées, MPIC autorise un nombre limité de résultats non concordants:

• Septembre 2025: 2 Remote Perspectives → une doit correspondre à la perspective principale

• Mars 2026: 3 Remote Perspectives → au moins 2 doivent correspondre à la perspective principale

• Juin 2026: 4 Remote Perspectives → au moins 3 doivent correspondre à la perspective principale

• Décembre 2026: 5 Remote Perspectives → au moins 4 doivent correspondre à la perspective principale

Conséquences concrètes en cas de configurations incorrectes: Si plusieurs Remote Perspectives voient des enregistrements DNS ou des entrées CAA différents par rapport à la perspective principale, l’émission du certificat est refusée. Cela protège contre les attaques locales, mais nécessite des configurations

Questions fréquemment posées (FAQ)