Discussion :

[Christian Olivier]

Microsoft supprime certains certificats chinois de Windows 10 en raison de pratiques de sécurité intolérables
mises en place par WoSign et StartCom

D’après Microsoft, les autorités chinoises de certification WoSign et StartCom ont échoué à maintenir les normes de sécurité requises pour se conformer à son programme de confiance. Ce sont ces organismes qui sont en général chargés de la délivrance des certificats numériques en Chine.

Il faut rappeler que Microsoft valorise l’Autorité de certification globale et la communauté qui la représente. Avant d'adopter la moindre mesure visant à garantir la sécurité optimale des utilisateurs de ses produits, l’entreprise américaine procède, au préalable, à une évaluation soigneuse des risques potentiels et des bénéfices probables pour ses clients.

De ce fait, l’entreprise technologique américaine a annoncé qu’elle commencera la dépréciation naturelle des certificats WoSign et StartCom en définissant une date « NotBefore » pour le 26 septembre 2017. Cette date qui devra marquer le début de la suppression des certificats non conformes. Autrement dit, tous les certificats existants de WoSign et StartCom jugés non réglementaires par Microsoft continueront à fonctionner jusqu’à leur expiration automatique.

L’éditeur du système d’exploitation Windows a expliqué que les violations des normes de sécurité qu’il a pu observer concernaient les certificats SHA-1, les émissions de certificats, la révocation accidentelle de certificats, les numéros de série de certificats en double et les multiples violations des exigences de base du Forum CAB.

Microsoft a précisé qu'elle ne fera, désormais, confiance à aucun nouveau certificat émanant de ces autorités de certification chinoises après la date du 26 septembre 2017, ce qui signifie qu’ils seront purement et simplement supprimés de son système d’exploitation Windows 10 et que, probablement, l'éditeur de Windows songe à arrêter sa collaboration avec ces organismes de certification.


Source : Blog Microsoft

Et vous ?

Qu'en pensez-vous ?

Voir aussi

Navigateurs IE11 et Edge : Microsoft bannit finalement les certificats TLS signés en SHA-1 dans le cadre de son programme de certification

[Mimoza]

Un dépôt de bilan est surement en préparation pour ces 2 plateforme … Ils se font dégager des navigateurs dominants donc leurs certificats ne valent plus rien.

[tonios1]

Startcom était bien pratique et gratuit pour certifier son site perso, ce que j'avais fait, donc je regrette cette situation, mais sûrement nécessaire.
Du coup direction Let’s Encrypt pour moi mais à renouveler tous les 3 mois, donc moins pratique.