Discussion :

[Stéphane le calme]

Mozilla prévoit de révoquer les nouveaux certificats issus par les autorités WoSign et StartCom pendant un an,
pour avoir antidaté leurs certificats SHA-1

Mise à jour du 25 / 10 / 2016 : Mozilla a décidé de révoquer les certificats issus par les autorités WoSign et StartCom pendant un an

Conformément à l’avis de ses ingénieurs, Mozilla a décidé de bannir les certificats SSL délivrés par les autorités de certification WoSign / StartCom malgré les efforts de Qihoo 360, le fournisseur chinois de solution antivirus, pour éviter ce scénario. Notons que Qihoo a une implication financière directe sur WoSign étant donné qu’il est l’actionnaire majoritaire de cette autorité de certification.

En effet, à l’issue d’une réunion qui a eu lieu à Londres il y a plus de deux semaines, Qihoo a indiqué que WoSign allait renvoyer son PDG et a également proposé une nouvelle direction pour la gestion de WoSign et StartCom. Des mesures qui n’ont sans doute pas suffi à Mozilla qui vient de voter pour une révocation des certificats issus des deux autorités. « Les niveaux de tromperie qu’ont affiché des représentants de la société combinée [WoSign + StartCom] a conduit à la décision de Mozilla de se méfier des certificats futurs liés aux certificats racines de WoSign et StartCom », a indiqué la fondation dans un billet.

Par ricochet, Mozilla a déclaré qu'il n’allait plus accepter les audits de sécurité effectués par Ernst & Young Hong Kong, le cabinet de sécurité qui a vérifié les pratiques commerciales de WoSign. Apple a déjà banni les certificats issus de ces deux autorités d’iOS et Mac OS X. Microsoft et Google ne se sont pas encore prononcés pour le moment.

Source : blog Mozilla

Mozilla envisage de bannir les nouveaux certificats SSL émis par l’autorité de certification WoSign ainsi que ceux émis par l’autorité de certification StartCom, qui semble avoir été secrètement achetée l’année dernière, de ses listes approuvées pendant un an.

Les ingénieurs de Mozilla expliquent que depuis quelques semaines, Mozilla a entrepris d’enquêter sur une liste d'incidents potentiels liés à l’autorité de certification WoSign. Le premier incident de cette liste remonte à la période allant du 16 janvier au 5 mars 2015, période durant laquelle WoSign a émis 1132 certificats SHA-1 dont la validité était étendue au-delà du 1er janvier 2017. Pourtant, les vieux certificats SHA-1 ayant été jugés peu fiables, ont été mis au rebut par l’ensemble des éditeurs de navigateurs. Mozilla avait d’ailleurs été clair dessus : « à compter du 16 janvier 2015, les autorités de certification NE DEVRONT PAS délivrer des certificats utilisant l’algorithme SHA-1 avec une date d’expiration allant au-delà du 1er janvier 2017 ».

À ce propos, les auditeurs de WoSign ont rapporté que « nous comprenons que WoSign a établi des procédures et des contrôles mis en place pour veiller à ce que les certificats SSL soient révoqués avant ou d’ici le 31 décembre 2016 ».

Les ingénieurs ont expliqué que certains d’entre les incidents semblent ne pas avoir été provoqués par WoSign. Et certains de ceux pour lesquels WoSign a reconnu être coupable sont très graves, à l'instar des noms de domaine arbitraires non validés dans les certificats. « Le plus grave du point de vue de la confiance sont les incidents que WoSign a nié mais dont une preuve de l'allégation existe. L'un de ces incidents était la suggestion (problème S) que WoSign a intentionnellement antidaté des certificats pour éviter que ses émissions de SHA-1 ne soient bloquées par les navigateurs ».

De plus, WoSign semble réfuter l’affirmation selon laquelle il a racheté l’autorité israélienne de certification StartCom. Mais Mozilla indique que « comme documenté dans l'enquête de Mozilla et comme confirmé par un avocat de langue hébraïque qui a examiné les documents pour nous, depuis le 1er Novembre 2015, WoSign a pris à 100 % la propriété de l’autorité de certification “StartCom” basée en Israël par le biais de sociétés intermédiaires au Royaume-Uni et à Hong Kong. Le problème R dans la liste originale des mises au point couvre cela. Bien qu’acheter une autre autorité de certification ne soit nullement illégal, les exigences du programme de Mozilla stipulent qu'un changement de propriété d’autorité de certification doit être divulgué. Dans ce cas, cela n'a pas été fait - de plus, ce changement de propriété a été immédiatement réfuté quelques mois après ».

Et de continuer en disant que « plus récemment, même après que la preuve du contrôle total est devenue publique, dans un communiqué de presse WoSign a souligné que son intérêt pour StartCom se résumait à un « investissement en capital », et a précisé que les deux entreprises continuent d'être séparées, même aujourd'hui. Ils affirment que "le système d'origine ... de StartCom reste inchangé" ». Pourtant, Mozilla affirme qu’il y a des preuves techniques qui attestent qu’environ un mois et demi après le rachat de StartCom, l’autorité a basculé sur les infrastructures de WoSign. Ces éléments de preuve pris ensemble, Mozilla pense que les certificats de StartCom sont désormais délivrés en s’appuyant soit sur l’infrastructure de WoSign, soit sur un clone de cette infrastructure.

La fondation note également que les pratiques de WoSign sont également observées chez StartCom, ce qui lui permet de conclure que, étant donné que la propriété, l'infrastructure et le contrôle sont suffisamment commun entre les deux entreprises, il serait donc raisonnable que toute action intentée par Mozilla à l’endroit de WoSign soit également prise contre StartCom et vice versa.

Compte tenu de tous ces problèmes, Mozilla a perdu confiance dans la capacité de WoSign / StartCom à remplir fidèlement et avec compétence les fonctions d'une autorité de certification. « Par conséquent, nous proposons que, à compter d'une date à déterminer dans un avenir proche, les produits Mozilla ne fassent plus confiance aux certificats nouvellement émis par l'une de ces deux autorités de certification ».

Mozilla n’a proposé que de retirer sa confiance aux certificats nouvellement émis afin de réduire l’impact sur les internautes étant donné la notoriété de ces deux autorités de certification. Pour déterminer les certificats « nouvellement émis », les ingénieurs ont proposé d’examiner la date “notBefore” dans les certificats. « Il est vrai que cette date est choisie par l’autorité de certification et donc par WoSign / StartCom qui pourraient revenir à des dates antérieures pour contourner cette mesure. Et il y a, comme nous l’avons expliqué, une preuve qu’ils l’ont fait par le passé. Cependant, plusieurs paires d’yeux sont rivées sur le web PKI et si un tel rétro-datage était découvert (indépendamment du moyen), Mozilla révoquerait immédiatement et de façon permanente la confiance accordée aux racines WoSign et StartCom ».

Les ingénieurs indiquent que cette mesure devra être appliquée au moins durant un an, période après laquelle WoSign / StartCom pourront être admis à nouveau dans les listes approuvées de Mozilla sous réserve de certaines conditions.

Source : explications de Mozilla (Google Docs), liste des infractions WoSign

Voir aussi :

le forum sécurité web ; la rubrique développement web ; cours et tutoriels développement web ; FAQ développement web

SHA-1 : Microsoft suit l'exemple de Mozilla et opte pour une fin de support en juin 2016, au lieu de janvier 2017 sur son navigateur

[Vulcania]

Bien fait pour leur gueule... Qu'est-ce qu'ils s'imaginaient ? Fournir un service basé sur la confiance en mentant ouvertement et à tout va ?

[CaptainDangeax]

Mozilla a raison de trancher. Une certification implique une confiance, qui ne peut être accordé à quelqu'un qui rachète sans le dire, qui antidate, et je ne sais quelle autre magouille non encore découverte. Pas de théorie du complot fumeuse genre "Wosign" est téléguidée par le pouvoir chinois, qui, en ayant accès aux clés privées SSL, peut décoder facilement le HTTPS... J'espère que les autres éditeurs, Google et MS en tête, marcheront dans les pas de Mozilla pour cette affaire.

[TiranusKBX]

Voila ce que ça donne une société qui ne pense qu'à faire du fric à court terme

[jopopmk]

Je serais conspirationniste je me dirais que cette entreprise à un agenda qui dépasse la fonction de CA

Sinon comme les autres remarques : il est inadmissible qu'un partenaire censé être de confiance ait autant de lacune.

[Stéphane le calme]

Révocation des certificats WoSign/StartCom : Apple a décidé de les bloquer sur iOS et OS X pour une durée indéterminée,
après les conclusions de l'enquête de Mozilla

Le mois dernier, après avoir mené des enquêtes suite à des incidents auxquels les autorités de certification WoSign et StartCom étaient mêlées, Mozilla a envisagé de révoquer les certificats issus par ces autorités pendant un an.

Suite à cette conclusion, c’est Apple qui lui emboîte le pas. Sur une des pages réservées au support technique, l’entreprise a rappelé que l’autorité de certification WoSign a connu plusieurs défaillances de contrôle dans ses processus d’émission de certificats SSL. Bien qu'aucune racine WoSign ne soit dans la liste des racines approuvées d'Apple, l’éditeur d’iOS affirme que cette autorité se sert de certificats signés issus de sa relation avec StartCom et Comodo pour établir la confiance sur les produits Apple.

« À la lumière de ces résultats, nous prenons des mesures pour protéger les utilisateurs dans une prochaine mise à jour de sécurité », a déclaré Apple qui a d’ores et déjà décidé de révoquer les certificats SSL issus par WoSign.

« Pour éviter toute interruption aux titulaires existant de certificats WoSign et pour permettre leur transition vers des racines de confiance, les produits Apple vont accorder une confiance individuelle aux certificats existants émis depuis cette autorité et publiés dans les journaux des serveurs Certificate Transparency après la date du 19/09/2016 ». La confiance sera maintenue jusqu'à l’expiration de la période de validité de ces certificats. Toutefois, Apple se réserve le droit de les révoquer ou de les déclarer comme non fiables.

« Tandis que l'enquête progresse, nous allons prendre des mesures supplémentaires à appliquer aux ancres de confiance de WoSign / StartCom dans les produits Apple qui vont s’avérer nécessaires pour protéger les utilisateurs ». Ces décisions sont appliquées à la fois sur iOS et MacOS. Contrairement à Mozilla, Apple n’a pas donné de limite dans le temps à l’application de cette sanction, l’éditeur d’iOS n’a pas indiqué si elle est permanente ou non, si la situation peut être inversée dans le futur.

Mozilla doit rencontrer les représentants de WoSign et StartCom cette semaine afin de clarifier les évènements récents. La fondation va décider si elle applique la sanction de la révocation des certificats de ces deux autorités pendant un an après cet entretien.

Pendant ce temps, WoSign, qui est l’autorité de certification la plus importante en Chine, a admis publiquement avoir acheté StartCom et recherche activement un moyen de trouver un terrain d’entente avec Mozilla pour éviter le bannissement de ses certificats. Il faut dire que la pression est énorme : d’autres éditeurs de navigateurs comme Google et Microsoft sont susceptibles d’emboîter le pas à Mozilla et Apple, mettant ainsi l’existence même de ces deux autorités en danger.

Source : décision d'Apple (iOS), décision d'Apple (MacOS), annonce de WoSign sur la gestion de StartCom, prise de rendez-vous entre les différentes entités pour éclaircissements

[pcdwarf]

Alors c'est clair qu'on ne peut pas faire confiance à un tiers de confiance qui n'est pas totalement transparent.

il n'empeche, ça va faire du boulot.
En ce qui me concerne, des startssl, j'en ai quelques uns.

[Shalien]

Je tiens à féliciter les gens qui tiennent des propos tels que : "Bien fait pour leurs gueules.., etc".

Certains des membres de developpez.net utilise startssl, moi le premier, et cette décision me fait perdre toute crédibilité auprès des clients auxquels j'ai recommandé ces certificats.

Donc oui, bien fait pour ma gueule n'est ce pas ? D'avoir comparer les prix des différentes CAs et d'avoir choisis celle qui propose le plus tout en demandant peu.

C'est une décision grave pour pleins de développeurs indépendant qui utilise les certificats gratuit (ou non) de Startssl et cela remet même en question le principe même d'autorité de certification et la confiance que les gens apporteront aux sites et applications utilisant ces certificats.

[Stéphane le calme]

Révocation des certificats WoSign / StartCom : Google emboîte le pas à Mozilla et Apple,
et décide de bloquer ces certificats à partir de Chrome 56

Après Apple, puis Mozilla, sans surprise c’est désormais Google qui a décidé de s’opposer aux certificats émis par les autorités de certification WoSign / StartCom. Dans un billet de blog, le numéro un de la recherche a indiqué qu’à compter de Chrome 56, les certificats délivrés par ces autorités datés d’après le 21 octobre 2016 seront révoqués. Concernant ceux qui ont été émis avant, ils seront validés, pour un moment et uniquement s’ils sont conformes à la politique de transparence de certificats de Chrome ou alors sont délivrés sur un ensemble restreint de domaines connus comme étant des clients de WoSign / StartCom.

« En raison d'un certain nombre de contraintes techniques ainsi que de préoccupations, Google Chrome ne peut pas faire confiance à tous les certificats pré-existants tout en garantissant que nos utilisateurs sont suffisamment protégés contre d'autres erreurs. Suite à ces modifications, les clients de WoSign et de StartCom pourraient constater que leurs certificats ne fonctionnent plus dans Chrome 56 », a prévenu Google.

Et de continuer en disant que dans les versions à venir de Chrome, ces exceptions seront réduites pour être finalement supprimées, ce qui caractérise bel et bien la méfiance vis-à-vis de ces autorités. « Cette approche par étapes sert uniquement à s'assurer que les sites ont la possibilité de faire la transition vers d'autres autorités de certification encore fiables dans Google Chrome, ce qui minimise les interruptions pour les utilisateurs de ces sites. Les sites qui se trouvent sur cette liste blanche pourront demander un retrait anticipé une fois qu'ils auront effectué la transition vers de nouveaux certificats. Toute tentative de WoSign ou StartCom de contourner ces contrôles entraînera un retrait immédiat et complet de la confiance », a martelé Google.

Comme chez Apple, Google n’a pas donné de date limite à cette sanction et encore moins si cette situation sera permanente ou pourra être inversée dans le futur.

Pour rappel, les ingénieurs de Mozilla ont enquêté sur une liste d’incidents liés à WoSign et ont conclu qu’il était nécessaire de bannir les certificats délivrés par cette autorité ainsi que StartCom, qui a été rachetée par WoSign, pour des pratiques trompeuses. Une réunion a eu lieu avec les représentants des parties intéressés afin que WoSign puisse se défendre, réunion à l’issue de laquelle Mozilla n’a pas du tout été satisfait. « Les niveaux de tromperie qu’ont affiché des représentants de la société combinée [WoSign + StartCom] a conduit à la décision de Mozilla de se méfier des certificats futurs liés aux certificats racines de WoSign et StartCom », a indiqué la fondation dans un billet. Dans la foulée, Mozilla a déclaré qu'il n’allait plus accepter les audits de sécurité effectués par Ernst & Young Hong Kong, le cabinet de sécurité qui a vérifié les pratiques commerciales de WoSign.

Source : blog Chrome

Voir aussi :

le forum sécurité web ; la rubrique développement web ; cours et tutoriels développement web ; FAQ développement web

SHA-1 : Microsoft suit l'exemple de Mozilla et opte pour une fin de support en juin 2016, au lieu de janvier 2017 sur son navigateur

[Stéphane le calme]

Google va révoquer les certificats issus par WoSign / StartCom dès Chrome 61
et suggère à ceux qui en disposent de se tourner vers d'autres autorités

Tout a commencé l’année dernière, lorsque les ingénieurs de Mozilla ont décidé d’enquêter sur une liste d'incidents potentiels liés à l’autorité de certification WoSign. Le premier incident de cette liste remonte à la période allant du 16 janvier au 5 mars 2015, période durant laquelle WoSign a émis 1132 certificats SHA-1 dont la validité était étendue au-delà du 1^er janvier 2017. Pourtant, les vieux certificats SHA-1 ayant été jugés peu fiables, ont été mis au rebut par l’ensemble des éditeurs de navigateurs. Mozilla avait d’ailleurs été clair dessus : « à compter du 16 janvier 2015, les autorités de certification NE DEVRONT PAS délivrer des certificats utilisant l’algorithme SHA-1 avec une date d’expiration allant au-delà du 1^er janvier 2017. »

Les ingénieurs ont expliqué que certains d’entre les incidents semblent ne pas avoir été provoqués par WoSign. Et certains de ceux pour lesquels WoSign a reconnu être coupable sont très graves, à l'instar des noms de domaine arbitraires non validés dans les certificats. « Les plus graves du point de vue de la confiance sont les incidents que WoSign a niés, mais dont une preuve de l'allégation existe. L'un de ces incidents était la suggestion (problème S) que WoSign a intentionnellement antidaté des certificats pour éviter que ses émissions de SHA-1 ne soient bloquées par les navigateurs. »

Mozilla a également pointé du doigt l’autorité de certification israélienne StartCom, assurant que WoSign l’avait rachetée et s’en servait pour perpétrer certaines actions que l’éditeur a jugées illicites. WoSign avait d’abord réfuté cette affirmation selon laquelle il aurait racheté cette autorité. Cependant, face aux preuves, WoSign a dû l’admettre plus tard.

Compte tenu de tous ces problèmes, Mozilla a perdu confiance dans la capacité de WoSign / StartCom à remplir fidèlement et avec compétence les fonctions d'une autorité de certification. « Par conséquent, nous proposons que, à compter d'une date à déterminer dans un avenir proche, les produits Mozilla ne fassent plus confiance aux certificats nouvellement émis par l'une de ces deux autorités de certification. »

Après une discussion avec des représentants des autorités, qui ont tenté de trouver un terrain d’entente, Mozilla a décidé de bannir les certificats SSL délivrés par les autorités de certification WoSign / StartCom.

Mozilla n’a proposé que de retirer sa confiance aux certificats nouvellement émis afin de réduire l’impact sur les internautes étant donné la notoriété de ces deux autorités de certification. Pour déterminer les certificats « nouvellement émis », les ingénieurs ont proposé d’examiner la date « notBefore » dans les certificats. « Il est vrai que cette date est choisie par l’autorité de certification et donc par WoSign / StartCom qui pourraient revenir à des dates antérieures pour contourner cette mesure. Et il y a, comme nous l’avons expliqué, une preuve qu’ils l’ont fait par le passé. Cependant, plusieurs paires d’yeux sont rivées sur le web PKI et si un tel rétrodatage était découvert (indépendamment du moyen), Mozilla révoquerait immédiatement et de façon permanente la confiance accordée aux racines WoSign et StartCom. »

Les ingénieurs ont indiqué que cette mesure devra être appliquée au moins durant un an, période après laquelle WoSign / StartCom pourra être admis à nouveau dans les listes approuvées de Mozilla sous réserve de certaines conditions.

Cette situation n’a pas manqué de provoquer les réactions d’autres acteurs du secteur technologique comme Apple qui a décidé de bannir à son tour les certificats émis par ces deux autorités. Google a emboîté le pas, assurant que tous les certificats délivrés par ces autorités datés d’après le 21 octobre 2016 seront révoqués.

Concernant ceux qui ont été émis avant, ils seront validés, pour un moment et uniquement s’ils sont conformes à la politique de transparence de certificats de Chrome ou alors sont délivrés sur un ensemble restreint de domaines connus comme étant des clients de WoSign / StartCom.

« En raison d'un certain nombre de contraintes techniques ainsi que de préoccupations, Google Chrome ne peut pas faire confiance à tous les certificats préexistants tout en garantissant que nos utilisateurs sont suffisamment protégés contre d'autres erreurs. Suite à ces modifications, les clients de WoSign et de StartCom pourraient constater que leurs certificats ne fonctionnent plus dans Chrome 56 », a prévenu Google.

Dans un billet de blog, l'ingénieur en sécurité Devon O'Brien, qui travaille au sein de l’équipe responsable du développement de Chrome, est venu rappeler que Chrome est dans le processus de retirer sa confiance des certificats émis par ces autorités : « Nous avons commencé ce processus dans Chrome 56 en autorisant uniquement les certificats délivrés avant le 21 octobre 2016 et avons ensuite restreint la confiance dans un ensemble de noms d'hôtes sur la liste blanche basée sur Alexa Top 1M. Nous allons réduire la taille de la liste blanche au cours des prochaines versions de Chrome. »

« À partir de Chrome 61, la liste blanche sera supprimée, ce qui va se traduire par un retirement total de la confiance envers les certificats racines WoSign et StartCom existants et tous les certificats qu'ils ont émis », a-t-il prévenu.

« Les sites utilisant encore les certificats issus de StartCom ou WoSign devraient envisager de remplacer ces certificats de manière urgente afin de minimiser les perturbations pour les utilisateurs de Chrome », a-t-il suggéré.

Source : billet Devon O'Brien

Et vous ?

Qu'en pensez-vous ?

[BlueScreenJunky]

"Issus" ? Je suis presque sûr qu'on dit "délivrés" ou "publiés" ;-)

[TiranusKBX]

Dans la phrase de provenance le mot est bien choisi car signifie "provenant de"

[divxdede]

Qui donne le droit à une société d'émettre des certificats de confiance ?
Car ce qui me surprends c'est qu'il est autorisé pour Mozilla, Google et consort de réfuter un certificat émis ? ça veut donc dire qu'ils peuvent nuire à une société sans avoir à rendre compte à une instance de régulation / contrôles ?

Je n'essais pas spécialement de défendre WoSign, car je ne connais pas vraiment l'affaire mais l'éditeur d'un navigateur ne devrait pas avoir le droit de décider de lui-même si un certificat est valide ou non.
Dans la forme actuelle, cette décision me choque terriblement.

[TiranusKBX]

@divxdede
Les sociétés de certification fonctionnent sur la confiance,
si l'on ne peut plus faire confiance en la qualité de la vérification des données ou la validité des certificats eux même l'on perd confiance en l'entreprise de certification.
Comme sur ce cas WoSign à accumulé des faits portant atteinte à la confiance que l'on pouvait lui porté, il est donc normal de renier la confiance que l'on à envers eux et de les bannir des listes d'autorité de certification.

[grunk]

Ça fait plusieurs semaines que tous les certifcats startcom que j'avais sont refusés sur la plus part des navigateurs.