IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Mozilla prévoit de révoquer les nouveaux certificats issus par les autorités WoSign et StartCom pendant un an


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Mars 2013
    Messages
    8 911
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Mars 2013
    Messages : 8 911
    Points : 206 582
    Points
    206 582
    Par défaut Mozilla prévoit de révoquer les nouveaux certificats issus par les autorités WoSign et StartCom pendant un an
    Mozilla prévoit de révoquer les nouveaux certificats issus par les autorités WoSign et StartCom pendant un an,
    pour avoir antidaté leurs certificats SHA-1

    Mise à jour du 25 / 10 / 2016 : Mozilla a décidé de révoquer les certificats issus par les autorités WoSign et StartCom pendant un an

    Conformément à l’avis de ses ingénieurs, Mozilla a décidé de bannir les certificats SSL délivrés par les autorités de certification WoSign / StartCom malgré les efforts de Qihoo 360, le fournisseur chinois de solution antivirus, pour éviter ce scénario. Notons que Qihoo a une implication financière directe sur WoSign étant donné qu’il est l’actionnaire majoritaire de cette autorité de certification.

    En effet, à l’issue d’une réunion qui a eu lieu à Londres il y a plus de deux semaines, Qihoo a indiqué que WoSign allait renvoyer son PDG et a également proposé une nouvelle direction pour la gestion de WoSign et StartCom. Des mesures qui n’ont sans doute pas suffi à Mozilla qui vient de voter pour une révocation des certificats issus des deux autorités. « Les niveaux de tromperie qu’ont affiché des représentants de la société combinée [WoSign + StartCom] a conduit à la décision de Mozilla de se méfier des certificats futurs liés aux certificats racines de WoSign et StartCom », a indiqué la fondation dans un billet.

    Par ricochet, Mozilla a déclaré qu'il n’allait plus accepter les audits de sécurité effectués par Ernst & Young Hong Kong, le cabinet de sécurité qui a vérifié les pratiques commerciales de WoSign. Apple a déjà banni les certificats issus de ces deux autorités d’iOS et Mac OS X. Microsoft et Google ne se sont pas encore prononcés pour le moment.

    Source : blog Mozilla

    Mozilla envisage de bannir les nouveaux certificats SSL émis par l’autorité de certification WoSign ainsi que ceux émis par l’autorité de certification StartCom, qui semble avoir été secrètement achetée l’année dernière, de ses listes approuvées pendant un an.

    Les ingénieurs de Mozilla expliquent que depuis quelques semaines, Mozilla a entrepris d’enquêter sur une liste d'incidents potentiels liés à l’autorité de certification WoSign. Le premier incident de cette liste remonte à la période allant du 16 janvier au 5 mars 2015, période durant laquelle WoSign a émis 1132 certificats SHA-1 dont la validité était étendue au-delà du 1er janvier 2017. Pourtant, les vieux certificats SHA-1 ayant été jugés peu fiables, ont été mis au rebut par l’ensemble des éditeurs de navigateurs. Mozilla avait d’ailleurs été clair dessus : « à compter du 16 janvier 2015, les autorités de certification NE DEVRONT PAS délivrer des certificats utilisant l’algorithme SHA-1 avec une date d’expiration allant au-delà du 1er janvier 2017 ».

    À ce propos, les auditeurs de WoSign ont rapporté que « nous comprenons que WoSign a établi des procédures et des contrôles mis en place pour veiller à ce que les certificats SSL soient révoqués avant ou d’ici le 31 décembre 2016 ».

    Les ingénieurs ont expliqué que certains d’entre les incidents semblent ne pas avoir été provoqués par WoSign. Et certains de ceux pour lesquels WoSign a reconnu être coupable sont très graves, à l'instar des noms de domaine arbitraires non validés dans les certificats. « Le plus grave du point de vue de la confiance sont les incidents que WoSign a nié mais dont une preuve de l'allégation existe. L'un de ces incidents était la suggestion (problème S) que WoSign a intentionnellement antidaté des certificats pour éviter que ses émissions de SHA-1 ne soient bloquées par les navigateurs ».

    De plus, WoSign semble réfuter l’affirmation selon laquelle il a racheté l’autorité israélienne de certification StartCom. Mais Mozilla indique que « comme documenté dans l'enquête de Mozilla et comme confirmé par un avocat de langue hébraïque qui a examiné les documents pour nous, depuis le 1er Novembre 2015, WoSign a pris à 100 % la propriété de l’autorité de certification “StartCom” basée en Israël par le biais de sociétés intermédiaires au Royaume-Uni et à Hong Kong. Le problème R dans la liste originale des mises au point couvre cela. Bien qu’acheter une autre autorité de certification ne soit nullement illégal, les exigences du programme de Mozilla stipulent qu'un changement de propriété d’autorité de certification doit être divulgué. Dans ce cas, cela n'a pas été fait - de plus, ce changement de propriété a été immédiatement réfuté quelques mois après ».

    Et de continuer en disant que « plus récemment, même après que la preuve du contrôle total est devenue publique, dans un communiqué de presse WoSign a souligné que son intérêt pour StartCom se résumait à un « investissement en capital », et a précisé que les deux entreprises continuent d'être séparées, même aujourd'hui. Ils affirment que "le système d'origine ... de StartCom reste inchangé" ». Pourtant, Mozilla affirme qu’il y a des preuves techniques qui attestent qu’environ un mois et demi après le rachat de StartCom, l’autorité a basculé sur les infrastructures de WoSign. Ces éléments de preuve pris ensemble, Mozilla pense que les certificats de StartCom sont désormais délivrés en s’appuyant soit sur l’infrastructure de WoSign, soit sur un clone de cette infrastructure.

    La fondation note également que les pratiques de WoSign sont également observées chez StartCom, ce qui lui permet de conclure que, étant donné que la propriété, l'infrastructure et le contrôle sont suffisamment commun entre les deux entreprises, il serait donc raisonnable que toute action intentée par Mozilla à l’endroit de WoSign soit également prise contre StartCom et vice versa.

    Compte tenu de tous ces problèmes, Mozilla a perdu confiance dans la capacité de WoSign / StartCom à remplir fidèlement et avec compétence les fonctions d'une autorité de certification. « Par conséquent, nous proposons que, à compter d'une date à déterminer dans un avenir proche, les produits Mozilla ne fassent plus confiance aux certificats nouvellement émis par l'une de ces deux autorités de certification ».

    Mozilla n’a proposé que de retirer sa confiance aux certificats nouvellement émis afin de réduire l’impact sur les internautes étant donné la notoriété de ces deux autorités de certification. Pour déterminer les certificats « nouvellement émis », les ingénieurs ont proposé d’examiner la date “notBefore” dans les certificats. « Il est vrai que cette date est choisie par l’autorité de certification et donc par WoSign / StartCom qui pourraient revenir à des dates antérieures pour contourner cette mesure. Et il y a, comme nous l’avons expliqué, une preuve qu’ils l’ont fait par le passé. Cependant, plusieurs paires d’yeux sont rivées sur le web PKI et si un tel rétro-datage était découvert (indépendamment du moyen), Mozilla révoquerait immédiatement et de façon permanente la confiance accordée aux racines WoSign et StartCom ».

    Les ingénieurs indiquent que cette mesure devra être appliquée au moins durant un an, période après laquelle WoSign / StartCom pourront être admis à nouveau dans les listes approuvées de Mozilla sous réserve de certaines conditions.

    Source : explications de Mozilla (Google Docs), liste des infractions WoSign

    Voir aussi :

    le forum sécurité web ; la rubrique développement web ; cours et tutoriels développement web ; FAQ développement web

    SHA-1 : Microsoft suit l'exemple de Mozilla et opte pour une fin de support en juin 2016, au lieu de janvier 2017 sur son navigateur

  2. #2
    Membre éclairé Avatar de Vulcania
    Homme Profil pro
    Architechte Logiciel
    Inscrit en
    Juillet 2011
    Messages
    88
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 29
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Architechte Logiciel
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Juillet 2011
    Messages : 88
    Points : 861
    Points
    861
    Par défaut
    Bien fait pour leur gueule... Qu'est-ce qu'ils s'imaginaient ? Fournir un service basé sur la confiance en mentant ouvertement et à tout va ?

  3. #3
    Membre expérimenté
    Profil pro
    Ingénieur système Linux N3
    Inscrit en
    Juillet 2008
    Messages
    420
    Détails du profil
    Informations personnelles :
    Localisation : France, Ille et Vilaine (Bretagne)

    Informations professionnelles :
    Activité : Ingénieur système Linux N3

    Informations forums :
    Inscription : Juillet 2008
    Messages : 420
    Points : 1 530
    Points
    1 530
    Par défaut Mozilla a raison
    Mozilla a raison de trancher. Une certification implique une confiance, qui ne peut être accordé à quelqu'un qui rachète sans le dire, qui antidate, et je ne sais quelle autre magouille non encore découverte. Pas de théorie du complot fumeuse genre "Wosign" est téléguidée par le pouvoir chinois, qui, en ayant accès aux clés privées SSL, peut décoder facilement le HTTPS... J'espère que les autres éditeurs, Google et MS en tête, marcheront dans les pas de Mozilla pour cette affaire.

  4. #4
    Expert confirmé
    Avatar de TiranusKBX
    Homme Profil pro
    Développeur C, C++, C#, Python, PHP, HTML, JS, Laravel, Vue.js
    Inscrit en
    Avril 2013
    Messages
    1 476
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 35
    Localisation : France, Seine et Marne (Île de France)

    Informations professionnelles :
    Activité : Développeur C, C++, C#, Python, PHP, HTML, JS, Laravel, Vue.js
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Avril 2013
    Messages : 1 476
    Points : 4 806
    Points
    4 806
    Billets dans le blog
    6
    Par défaut
    Voila ce que ça donne une société qui ne pense qu'à faire du fric à court terme

  5. #5
    Membre expert Avatar de jopopmk
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Mars 2011
    Messages
    1 856
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Mars 2011
    Messages : 1 856
    Points : 3 570
    Points
    3 570
    Par défaut
    Je serais conspirationniste je me dirais que cette entreprise à un agenda qui dépasse la fonction de CA

    Sinon comme les autres remarques : il est inadmissible qu'un partenaire censé être de confiance ait autant de lacune.

  6. #6
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Mars 2013
    Messages
    8 911
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Mars 2013
    Messages : 8 911
    Points : 206 582
    Points
    206 582
    Par défaut Révocation des certificats WoSign/StartCom : Apple a décidé de les bloquer sur iOS et OS X
    Révocation des certificats WoSign/StartCom : Apple a décidé de les bloquer sur iOS et OS X pour une durée indéterminée,
    après les conclusions de l'enquête de Mozilla

    Le mois dernier, après avoir mené des enquêtes suite à des incidents auxquels les autorités de certification WoSign et StartCom étaient mêlées, Mozilla a envisagé de révoquer les certificats issus par ces autorités pendant un an.

    Suite à cette conclusion, c’est Apple qui lui emboîte le pas. Sur une des pages réservées au support technique, l’entreprise a rappelé que l’autorité de certification WoSign a connu plusieurs défaillances de contrôle dans ses processus d’émission de certificats SSL. Bien qu'aucune racine WoSign ne soit dans la liste des racines approuvées d'Apple, l’éditeur d’iOS affirme que cette autorité se sert de certificats signés issus de sa relation avec StartCom et Comodo pour établir la confiance sur les produits Apple.

    « À la lumière de ces résultats, nous prenons des mesures pour protéger les utilisateurs dans une prochaine mise à jour de sécurité », a déclaré Apple qui a d’ores et déjà décidé de révoquer les certificats SSL issus par WoSign.

    « Pour éviter toute interruption aux titulaires existant de certificats WoSign et pour permettre leur transition vers des racines de confiance, les produits Apple vont accorder une confiance individuelle aux certificats existants émis depuis cette autorité et publiés dans les journaux des serveurs Certificate Transparency après la date du 19/09/2016 ». La confiance sera maintenue jusqu'à l’expiration de la période de validité de ces certificats. Toutefois, Apple se réserve le droit de les révoquer ou de les déclarer comme non fiables.

    « Tandis que l'enquête progresse, nous allons prendre des mesures supplémentaires à appliquer aux ancres de confiance de WoSign / StartCom dans les produits Apple qui vont s’avérer nécessaires pour protéger les utilisateurs ». Ces décisions sont appliquées à la fois sur iOS et MacOS. Contrairement à Mozilla, Apple n’a pas donné de limite dans le temps à l’application de cette sanction, l’éditeur d’iOS n’a pas indiqué si elle est permanente ou non, si la situation peut être inversée dans le futur.

    Mozilla doit rencontrer les représentants de WoSign et StartCom cette semaine afin de clarifier les évènements récents. La fondation va décider si elle applique la sanction de la révocation des certificats de ces deux autorités pendant un an après cet entretien.

    Pendant ce temps, WoSign, qui est l’autorité de certification la plus importante en Chine, a admis publiquement avoir acheté StartCom et recherche activement un moyen de trouver un terrain d’entente avec Mozilla pour éviter le bannissement de ses certificats. Il faut dire que la pression est énorme : d’autres éditeurs de navigateurs comme Google et Microsoft sont susceptibles d’emboîter le pas à Mozilla et Apple, mettant ainsi l’existence même de ces deux autorités en danger.

    Source : décision d'Apple (iOS), décision d'Apple (MacOS), annonce de WoSign sur la gestion de StartCom, prise de rendez-vous entre les différentes entités pour éclaircissements

  7. #7
    Membre éprouvé Avatar de pcdwarf
    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    Février 2010
    Messages
    269
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Puy de Dôme (Auvergne)

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : Février 2010
    Messages : 269
    Points : 976
    Points
    976
    Par défaut
    Alors c'est clair qu'on ne peut pas faire confiance à un tiers de confiance qui n'est pas totalement transparent.

    il n'empeche, ça va faire du boulot.
    En ce qui me concerne, des startssl, j'en ai quelques uns.

  8. #8
    Membre du Club
    Profil pro
    Dev
    Inscrit en
    Novembre 2012
    Messages
    7
    Détails du profil
    Informations personnelles :
    Localisation : France, Eure (Haute Normandie)

    Informations professionnelles :
    Activité : Dev

    Informations forums :
    Inscription : Novembre 2012
    Messages : 7
    Points : 44
    Points
    44
    Par défaut :thumbup:
    Je tiens à féliciter les gens qui tiennent des propos tels que : "Bien fait pour leurs gueules.., etc".

    Certains des membres de developpez.net utilise startssl, moi le premier, et cette décision me fait perdre toute crédibilité auprès des clients auxquels j'ai recommandé ces certificats.

    Donc oui, bien fait pour ma gueule n'est ce pas ? D'avoir comparer les prix des différentes CAs et d'avoir choisis celle qui propose le plus tout en demandant peu.

    C'est une décision grave pour pleins de développeurs indépendant qui utilise les certificats gratuit (ou non) de Startssl et cela remet même en question le principe même d'autorité de certification et la confiance que les gens apporteront aux sites et applications utilisant ces certificats.

  9. #9
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Mars 2013
    Messages
    8 911
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Mars 2013
    Messages : 8 911
    Points : 206 582
    Points
    206 582
    Par défaut Révocation des certificats WoSign / StartCom : Google emboîte le pas à Mozilla et Apple,
    Révocation des certificats WoSign / StartCom : Google emboîte le pas à Mozilla et Apple,
    et décide de bloquer ces certificats à partir de Chrome 56

    Après Apple, puis Mozilla, sans surprise c’est désormais Google qui a décidé de s’opposer aux certificats émis par les autorités de certification WoSign / StartCom. Dans un billet de blog, le numéro un de la recherche a indiqué qu’à compter de Chrome 56, les certificats délivrés par ces autorités datés d’après le 21 octobre 2016 seront révoqués. Concernant ceux qui ont été émis avant, ils seront validés, pour un moment et uniquement s’ils sont conformes à la politique de transparence de certificats de Chrome ou alors sont délivrés sur un ensemble restreint de domaines connus comme étant des clients de WoSign / StartCom.

    « En raison d'un certain nombre de contraintes techniques ainsi que de préoccupations, Google Chrome ne peut pas faire confiance à tous les certificats pré-existants tout en garantissant que nos utilisateurs sont suffisamment protégés contre d'autres erreurs. Suite à ces modifications, les clients de WoSign et de StartCom pourraient constater que leurs certificats ne fonctionnent plus dans Chrome 56 », a prévenu Google.

    Et de continuer en disant que dans les versions à venir de Chrome, ces exceptions seront réduites pour être finalement supprimées, ce qui caractérise bel et bien la méfiance vis-à-vis de ces autorités. « Cette approche par étapes sert uniquement à s'assurer que les sites ont la possibilité de faire la transition vers d'autres autorités de certification encore fiables dans Google Chrome, ce qui minimise les interruptions pour les utilisateurs de ces sites. Les sites qui se trouvent sur cette liste blanche pourront demander un retrait anticipé une fois qu'ils auront effectué la transition vers de nouveaux certificats. Toute tentative de WoSign ou StartCom de contourner ces contrôles entraînera un retrait immédiat et complet de la confiance », a martelé Google.

    Comme chez Apple, Google n’a pas donné de date limite à cette sanction et encore moins si cette situation sera permanente ou pourra être inversée dans le futur.

    Pour rappel, les ingénieurs de Mozilla ont enquêté sur une liste d’incidents liés à WoSign et ont conclu qu’il était nécessaire de bannir les certificats délivrés par cette autorité ainsi que StartCom, qui a été rachetée par WoSign, pour des pratiques trompeuses. Une réunion a eu lieu avec les représentants des parties intéressés afin que WoSign puisse se défendre, réunion à l’issue de laquelle Mozilla n’a pas du tout été satisfait. « Les niveaux de tromperie qu’ont affiché des représentants de la société combinée [WoSign + StartCom] a conduit à la décision de Mozilla de se méfier des certificats futurs liés aux certificats racines de WoSign et StartCom », a indiqué la fondation dans un billet. Dans la foulée, Mozilla a déclaré qu'il n’allait plus accepter les audits de sécurité effectués par Ernst & Young Hong Kong, le cabinet de sécurité qui a vérifié les pratiques commerciales de WoSign.

    Source : blog Chrome

    Voir aussi :

    le forum sécurité web ; la rubrique développement web ; cours et tutoriels développement web ; FAQ développement web

    SHA-1 : Microsoft suit l'exemple de Mozilla et opte pour une fin de support en juin 2016, au lieu de janvier 2017 sur son navigateur

  10. #10
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Mars 2013
    Messages
    8 911
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Mars 2013
    Messages : 8 911
    Points : 206 582
    Points
    206 582
    Par défaut Google va révoquer les certificats issus par WoSign / StartCom dès Chrome 61
    Google va révoquer les certificats issus par WoSign / StartCom dès Chrome 61
    et suggère à ceux qui en disposent de se tourner vers d'autres autorités

    Tout a commencé l’année dernière, lorsque les ingénieurs de Mozilla ont décidé d’enquêter sur une liste d'incidents potentiels liés à l’autorité de certification WoSign. Le premier incident de cette liste remonte à la période allant du 16 janvier au 5 mars 2015, période durant laquelle WoSign a émis 1132 certificats SHA-1 dont la validité était étendue au-delà du 1er janvier 2017. Pourtant, les vieux certificats SHA-1 ayant été jugés peu fiables, ont été mis au rebut par l’ensemble des éditeurs de navigateurs. Mozilla avait d’ailleurs été clair dessus : « à compter du 16 janvier 2015, les autorités de certification NE DEVRONT PAS délivrer des certificats utilisant l’algorithme SHA-1 avec une date d’expiration allant au-delà du 1er janvier 2017. »

    Les ingénieurs ont expliqué que certains d’entre les incidents semblent ne pas avoir été provoqués par WoSign. Et certains de ceux pour lesquels WoSign a reconnu être coupable sont très graves, à l'instar des noms de domaine arbitraires non validés dans les certificats. « Les plus graves du point de vue de la confiance sont les incidents que WoSign a niés, mais dont une preuve de l'allégation existe. L'un de ces incidents était la suggestion (problème S) que WoSign a intentionnellement antidaté des certificats pour éviter que ses émissions de SHA-1 ne soient bloquées par les navigateurs. »

    Mozilla a également pointé du doigt l’autorité de certification israélienne StartCom, assurant que WoSign l’avait rachetée et s’en servait pour perpétrer certaines actions que l’éditeur a jugées illicites. WoSign avait d’abord réfuté cette affirmation selon laquelle il aurait racheté cette autorité. Cependant, face aux preuves, WoSign a dû l’admettre plus tard.

    Compte tenu de tous ces problèmes, Mozilla a perdu confiance dans la capacité de WoSign / StartCom à remplir fidèlement et avec compétence les fonctions d'une autorité de certification. « Par conséquent, nous proposons que, à compter d'une date à déterminer dans un avenir proche, les produits Mozilla ne fassent plus confiance aux certificats nouvellement émis par l'une de ces deux autorités de certification. »

    Après une discussion avec des représentants des autorités, qui ont tenté de trouver un terrain d’entente, Mozilla a décidé de bannir les certificats SSL délivrés par les autorités de certification WoSign / StartCom.

    Mozilla n’a proposé que de retirer sa confiance aux certificats nouvellement émis afin de réduire l’impact sur les internautes étant donné la notoriété de ces deux autorités de certification. Pour déterminer les certificats « nouvellement émis », les ingénieurs ont proposé d’examiner la date « notBefore » dans les certificats. « Il est vrai que cette date est choisie par l’autorité de certification et donc par WoSign / StartCom qui pourraient revenir à des dates antérieures pour contourner cette mesure. Et il y a, comme nous l’avons expliqué, une preuve qu’ils l’ont fait par le passé. Cependant, plusieurs paires d’yeux sont rivées sur le web PKI et si un tel rétrodatage était découvert (indépendamment du moyen), Mozilla révoquerait immédiatement et de façon permanente la confiance accordée aux racines WoSign et StartCom. »

    Les ingénieurs ont indiqué que cette mesure devra être appliquée au moins durant un an, période après laquelle WoSign / StartCom pourra être admis à nouveau dans les listes approuvées de Mozilla sous réserve de certaines conditions.


    Cette situation n’a pas manqué de provoquer les réactions d’autres acteurs du secteur technologique comme Apple qui a décidé de bannir à son tour les certificats émis par ces deux autorités. Google a emboîté le pas, assurant que tous les certificats délivrés par ces autorités datés d’après le 21 octobre 2016 seront révoqués.

    Concernant ceux qui ont été émis avant, ils seront validés, pour un moment et uniquement s’ils sont conformes à la politique de transparence de certificats de Chrome ou alors sont délivrés sur un ensemble restreint de domaines connus comme étant des clients de WoSign / StartCom.

    « En raison d'un certain nombre de contraintes techniques ainsi que de préoccupations, Google Chrome ne peut pas faire confiance à tous les certificats préexistants tout en garantissant que nos utilisateurs sont suffisamment protégés contre d'autres erreurs. Suite à ces modifications, les clients de WoSign et de StartCom pourraient constater que leurs certificats ne fonctionnent plus dans Chrome 56 », a prévenu Google.

    Dans un billet de blog, l'ingénieur en sécurité Devon O'Brien, qui travaille au sein de l’équipe responsable du développement de Chrome, est venu rappeler que Chrome est dans le processus de retirer sa confiance des certificats émis par ces autorités : « Nous avons commencé ce processus dans Chrome 56 en autorisant uniquement les certificats délivrés avant le 21 octobre 2016 et avons ensuite restreint la confiance dans un ensemble de noms d'hôtes sur la liste blanche basée sur Alexa Top 1M. Nous allons réduire la taille de la liste blanche au cours des prochaines versions de Chrome. »

    « À partir de Chrome 61, la liste blanche sera supprimée, ce qui va se traduire par un retirement total de la confiance envers les certificats racines WoSign et StartCom existants et tous les certificats qu'ils ont émis », a-t-il prévenu.

    « Les sites utilisant encore les certificats issus de StartCom ou WoSign devraient envisager de remplacer ces certificats de manière urgente afin de minimiser les perturbations pour les utilisateurs de Chrome », a-t-il suggéré.

    Source : billet Devon O'Brien

    Et vous ?

    Qu'en pensez-vous ?

  11. #11
    Membre habitué
    Homme Profil pro
    Développeur Web
    Inscrit en
    Avril 2012
    Messages
    52
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : Avril 2012
    Messages : 52
    Points : 187
    Points
    187
    Par défaut
    "Issus" ? Je suis presque sûr qu'on dit "délivrés" ou "publiés" ;-)

  12. #12
    Expert confirmé
    Avatar de TiranusKBX
    Homme Profil pro
    Développeur C, C++, C#, Python, PHP, HTML, JS, Laravel, Vue.js
    Inscrit en
    Avril 2013
    Messages
    1 476
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 35
    Localisation : France, Seine et Marne (Île de France)

    Informations professionnelles :
    Activité : Développeur C, C++, C#, Python, PHP, HTML, JS, Laravel, Vue.js
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Avril 2013
    Messages : 1 476
    Points : 4 806
    Points
    4 806
    Billets dans le blog
    6
    Par défaut
    Dans la phrase de provenance le mot est bien choisi car signifie "provenant de"

  13. #13
    Membre éclairé
    Avatar de divxdede
    Profil pro
    Inscrit en
    Avril 2004
    Messages
    525
    Détails du profil
    Informations personnelles :
    Âge : 46
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : Avril 2004
    Messages : 525
    Points : 844
    Points
    844
    Par défaut
    Qui donne le droit à une société d'émettre des certificats de confiance ?
    Car ce qui me surprends c'est qu'il est autorisé pour Mozilla, Google et consort de réfuter un certificat émis ? ça veut donc dire qu'ils peuvent nuire à une société sans avoir à rendre compte à une instance de régulation / contrôles ?

    Je n'essais pas spécialement de défendre WoSign, car je ne connais pas vraiment l'affaire mais l'éditeur d'un navigateur ne devrait pas avoir le droit de décider de lui-même si un certificat est valide ou non.
    Dans la forme actuelle, cette décision me choque terriblement.

  14. #14
    Expert confirmé
    Avatar de TiranusKBX
    Homme Profil pro
    Développeur C, C++, C#, Python, PHP, HTML, JS, Laravel, Vue.js
    Inscrit en
    Avril 2013
    Messages
    1 476
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 35
    Localisation : France, Seine et Marne (Île de France)

    Informations professionnelles :
    Activité : Développeur C, C++, C#, Python, PHP, HTML, JS, Laravel, Vue.js
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Avril 2013
    Messages : 1 476
    Points : 4 806
    Points
    4 806
    Billets dans le blog
    6
    Par défaut
    @divxdede
    Les sociétés de certification fonctionnent sur la confiance,
    si l'on ne peut plus faire confiance en la qualité de la vérification des données ou la validité des certificats eux même l'on perd confiance en l'entreprise de certification.
    Comme sur ce cas WoSign à accumulé des faits portant atteinte à la confiance que l'on pouvait lui porté, il est donc normal de renier la confiance que l'on à envers eux et de les bannir des listes d'autorité de certification.

  15. #15
    Modérateur
    Avatar de grunk
    Homme Profil pro
    Lead dév - Architecte
    Inscrit en
    Août 2003
    Messages
    6 692
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 40
    Localisation : France, Côte d'Or (Bourgogne)

    Informations professionnelles :
    Activité : Lead dév - Architecte
    Secteur : Industrie

    Informations forums :
    Inscription : Août 2003
    Messages : 6 692
    Points : 20 243
    Points
    20 243
    Par défaut
    Ça fait plusieurs semaines que tous les certifcats startcom que j'avais sont refusés sur la plus part des navigateurs.

Discussions similaires

  1. Les 10 erreurs les plus stupides faites par les admin réseau ?
    Par Community Management dans le forum Sécurité
    Réponses: 87
    Dernier message: 28/09/2020, 16h18
  2. Réponses: 31
    Dernier message: 23/12/2013, 14h41
  3. Réponses: 7
    Dernier message: 23/09/2009, 10h02
  4. Réponses: 0
    Dernier message: 06/07/2009, 21h38

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo