Google, Microsoft et Mozilla bannissent une autre autorité de certification

Idelways · 04/11/2011, 16h36

Google, Microsoft et Mozilla bannissent une autre autorité de certification
Digicert a émis 22 certificats faibles et incomplets

Les géants de l'Internet, décontenancés par le fiasco DigiNotar, semblent avoir instauré un régime de tolérance zéro.

Microsoft, Mozilla et Google viennent de révoquer toute confiance aux certificats de sécurité émis par l'autorité intermédiaire Malisienne Digicert. Et pour cause, la diffusion de 22 certificats ayant une clé privée faible (à 512-bit), entre autres manquements aux standards de la sécurité.

Digicert, certifié par l'autorité root Entrust, a omis d'inclure les informations de révocation, l'Extended (ou Enhanced) Key Usage (EKU) et les désignations.

D'après un porte-parole de Microsoft, « il n'y a pas de preuve que des certificats ont été frauduleusement émis, mais ces clés faibles ont permis de compromettre quelques certificats [...] l'autorité de certification intermédiaire [Digicert] a clairement démontré de médiocres pratiques de sécurité, et Microsoft a l'intention de révoquer sa confiance dans ces certificats intermédiaires », peut on lire sur un billet de blog.

De son côté, Entrust révoquera tous les certificats de Digicert d'ici jeudi prochain, laissant un délai relativement court pour que les clients de son intermédiaire changent de fournisseur. La liste des certificats a été communiquée aux éditeurs de navigateurs qui entreprennent de les blacklister.

Mozilla ne fait pas non plus dans la demi-mesure, et bannira tous les certificats dès Firefox 8 prévu pour le 17 novembre, et la version 3.6.24 du panda roux, qui sortira la semaine prochaine.

Des démarches similaires sont en cours par l'équipe de Chromium.

Les 22 certificats incriminés appartiennent à des « sites Web et des systèmes internes du gouvernement malaisien », ce qui laisse planer le doute sur une éventuelle main criminelle. Sur son site Digicert affirme être certifié par le gourvnement malaisien et ses « solutions de confiance sont légalement reconnues par la loi malaisienne ».

Source : Microsoft, Mozilla, Google, Digicert

6-MarViN · 04/11/2011, 17h11

Citation:

Envoyé par Idelways

Sur son site Digicert affirme être certifié par le gouvernement malaisien et ses « solutions de confiance sont légalement reconnues par la loi malaisienne ».

Ah c'est sur la malaisie, ça c'est un pays de confiance.

Pour ce qui est des composants electroniques, je veux bien, mais pour les solutions de sécurités... pas sûr.

Comme quoi le fiasco Diginotar a eu la conséquence de sensibiliser les industries du web à se méfier des certificats utilisés, me s'ils s'avèrent légitimes à première vue. C'est une bonne chose.

04/11/2011, 16h36	#1
Idelways Coordinateur publications Développeur Ruby on Rails / iOS et journaliste Inscription : juin 2010 Messages : 1 105 Détails du profil Informations professionnelles : Activité : Développeur Ruby on Rails / iOS et journaliste Informations forums : Inscription : juin 2010 Messages : 1 105 Points : 24 337 Points : 24 337	Google, Microsoft et Mozilla bannissent une autre autorité de certification Google, Microsoft et Mozilla bannissent une autre autorité de certification Digicert a émis 22 certificats faibles et incomplets Les géants de l'Internet, décontenancés par le fiasco DigiNotar, semblent avoir instauré un régime de tolérance zéro. Microsoft, Mozilla et Google viennent de révoquer toute confiance aux certificats de sécurité émis par l'autorité intermédiaire Malisienne Digicert. Et pour cause, la diffusion de 22 certificats ayant une clé privée faible (à 512-bit), entre autres manquements aux standards de la sécurité. Digicert, certifié par l'autorité root Entrust, a omis d'inclure les informations de révocation, l'Extended (ou Enhanced) Key Usage (EKU) et les désignations. D'après un porte-parole de Microsoft, « il n'y a pas de preuve que des certificats ont été frauduleusement émis, mais ces clés faibles ont permis de compromettre quelques certificats [...] l'autorité de certification intermédiaire [Digicert] a clairement démontré de médiocres pratiques de sécurité, et Microsoft a l'intention de révoquer sa confiance dans ces certificats intermédiaires », peut on lire sur un billet de blog. De son côté, Entrust révoquera tous les certificats de Digicert d'ici jeudi prochain, laissant un délai relativement court pour que les clients de son intermédiaire changent de fournisseur. La liste des certificats a été communiquée aux éditeurs de navigateurs qui entreprennent de les blacklister. Mozilla ne fait pas non plus dans la demi-mesure, et bannira tous les certificats dès Firefox 8 prévu pour le 17 novembre, et la version 3.6.24 du panda roux, qui sortira la semaine prochaine. Des démarches similaires sont en cours par l'équipe de Chromium. Les 22 certificats incriminés appartiennent à des « sites Web et des systèmes internes du gouvernement malaisien », ce qui laisse planer le doute sur une éventuelle main criminelle. Sur son site Digicert affirme être certifié par le gourvnement malaisien et ses « solutions de confiance sont légalement reconnues par la loi malaisienne ». Source : Microsoft, Mozilla, Google, Digicert
	30

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email