Discussion :

[Idelways]

Sécurité : la fondation Mozilla incite les autorités de certification à adopter un nouveau standard
De chiffrement, jugé plus sûr



La fondation Mozilla veut forcer la main aux autorités de certifications (CAs), chargées de délivrer les certificats de sécurité sur Internet, pour qu'elles adoptent vite un nouveau standard de chiffrement en cours de finalisation.

Ce nouveau standard, baptisé : « Exigences de base, relatives à la délivrance et la gestion des certificats publiques de confiance » est actuellement au stade « Final Draft » auprès du consortium « CA/Browser Forum ».

Il est jugé plus sûr que ceux employés actuellement, notamment grâce au bannissement de l'algorithme de Hachage MD5 de la signature des certificats de sécurité. Cette interdiction devrait empêcher les pirates de reproduire l'exploit rendu public en 2008 ayant permis à des chercheurs de créer de vrais-faux certificats de sécurité au moyen d'attaques par collisions MD5.

La fondation Mozilla, par la voix de sa consultante en sécurité Kathleen Wilson accorde un délai de 45 jours (jusqu'au 25 mai) durant lequel les autorités de certification sont priées de manifester leurs éventuelles désapprobations avant la finalisation du document.

Des mises à jour prochaines aux logiciels de Mozilla (dont le navigateur Firefox) les empêcheront de résoudre correctement les certificats signés en MD5 par les autorités de certification intermédiaire et finales à partir du 30 juin prochain.

Récemment, une attaque revendiquée par un hacker iranien solitaire a permis le vol de certificats de sécurité et la création de faux certificats ayant été propulsées vers six domaines. Un patch de Firefox met à l'abri les utilisateurs du navigateur de la fondation.


Plus de détails sur ce standard sur cette adresse (PDF, 380 KO)

Source : Groupe de la politique de sécurité de Mozillla

[Neko]

Essayons de résumer: Mozilla force les autorités de certification à adopter un nouveau standard pas fini. Et dans le cas ou ça ne serait pas accepté, ils vont quand même arrêter le support du standard actuel.
Ils se prennent pour les maitres du web ou un truc du genre? Qu'ils proposent est une chose, mais ils n'ont pas à forcer quoi que ce soit ou qui que ce soit.

[gagaches]

Non, je corrige :

Les CA : "oui, on va prendre notre temps, touça, *baille*, faut valider quoi déjà ?"
Mozilla : "mais grouillez-vous, y'a le feu là ... on voudrait un meilleur extincteur et VITE !!!!"

[Niaatan]

@Neko :

Une chose que Mozilla ne nous impose pas c'est l'utilisation de Firefox. Après, s'ils veulent choisir l'orientation qu'ils donnent à leur soft, c'est pas moi qui vais leur dire quoi que ce soit, sauf que je verrai au moment de sa sortie s'il me convient toujours. (Note que pour le moment je suis convaincu par Fx 4).

On peut également se souvenir que Google avait fait le même coup en retirant le support du H.264 du navigateur maison...

[Neko]

@Neko :
Une chose que Mozilla ne nous impose pas c'est l'utilisation de Firefox. Après, s'ils veulent choisir l'orientation qu'ils donnent à leur soft, ...

Je pense pas que les "autorités de certifications" fassent partie de Firefox...

[Flaburgan]

C'est comme la publication d'un PoC mais en moins dangereux, quand personne ne bouge et que nous on considère ça critique, on est obligé parfois de forcer un peu la main.