Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités
    Avatar de Patrick Ruiz
    Homme Profil pro
    Rédacteur technique
    Inscrit en
    février 2017
    Messages
    624
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Rédacteur technique
    Secteur : Communication - Médias

    Informations forums :
    Inscription : février 2017
    Messages : 624
    Points : 21 509
    Points
    21 509

    Par défaut Les versions 70 à 73 de Google Chrome ne prendront pas les certificats HTTPS Symantec en charge

    Les versions 70 à 73 de Google Chrome ne prendront pas les certificats HTTPS Symantec en charge :
    Des milliers de sites mis à mal

    L’annonce est de la firme de Mountain View au travers de l’une des pages de support dédiées à Google Chrome. Le navigateur ne prendra plus en charge les certificats HTTPS émis par Symantec à partir de la version 70. L’accès (avec Google Chrome) à un site qui s’appuie sur un artifice de sécurisation fourni par Symantec entraînera l’apparition du message d’erreur « Not Secure. »

    Nom : not secure.png
Affichages : 2547
Taille : 53,7 Ko

    Il ne s’agit pas d’une mesure définitive. En effet, plus loin dans sa note d’information, Google précise que la mesure court jusqu’à la version 73 de son navigateur. Il y a moins d’un mois que l’entreprise a publié la bêta de Chrome 70. La version stable pour sa part est attendue à mi-parcours de ce mois et bloquera tous les certificats émis sous des marques Symantec. On parle de GeoTrust, Equifax, Thawte, RapidSSL, Verisign, ainsi que de ceux émis par les revendeurs affiliés à Symantec.

    L’annonce de Google fait suite à des frictions avec l’autorité de certification adossée à la firme de sécurité. En 2015, Stephan Somogyi – ingénieur Google affecté au projet Certificate Transparency – a découvert que Symantec a délivré une série de précertificats EV sans l’accord de Google. Le géant de la recherche avait dû mettre ces derniers sur liste noire, puis les révoquer. L’année 2017 s’était quant à elle s’était ouverte sur des accusations de la firme de Mountain View dirigées contre trois autorités de certification liées à Symantec. D’après Google, ces dernières ont procédé à l’émission d’une centaine de certificats TLS invalides. De façon brossée, cela fait un moment que Google dit ne « plus avoir confiance dans les politiques d’émission et les pratiques de Symantec en matière de gestion des certificats. »

    D’après les développements de Scott Helme, un bon millier de sites Web est affecté. Sur son blog, le chercheur en sécurité dresse une liste de 1139 sites du top 1 million de l’index Alexa. Quelle alternative (pour tous ces éditeurs de sites laissés aux abois) d’ici à la sortie de Chrome 73 ? Let’s Encrypt. Les certificats de cette autorité bénéficient de la confiance des principaux éditeurs de navigateurs. À date, l’organisation à but non lucratif a délivré (gratuitement) un minimum de 380 millions de certificats.

    Sources : Support Google, blog Helme

    Et vous ?

    Qu’en pensez-vous ?

    Vos sites Web s’appuient-ils sur les certificats Symantec ? Si oui, quelles dispositions avez-vous prises ?


    Voir aussi :

    Symantec se sépare de certains de ses employés qui ont émis des certificats SSL Google de façon inappropriée

    Symantec à nouveau dans le collimateur de Google sur la question des certificats SSL, la filiale d'Alphabet a décidé de prendre des mesures

    La plupart des certificats de signature de code utilisés par des malwares n'auraient pas été dérobés à des entreprises, mais simplement vendus
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Expert éminent Avatar de Uther
    Homme Profil pro
    Inscrit en
    avril 2002
    Messages
    3 699
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations forums :
    Inscription : avril 2002
    Messages : 3 699
    Points : 8 998
    Points
    8 998

    Par défaut

    Pour info, Mozilla a déjà lancé la même procédure dans Firefox depuis septembre.

  3. #3
    Expert éminent

    Homme Profil pro
    Développeur .NET
    Inscrit en
    janvier 2012
    Messages
    4 342
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 62
    Localisation : Canada

    Informations professionnelles :
    Activité : Développeur .NET
    Secteur : Finance

    Informations forums :
    Inscription : janvier 2012
    Messages : 4 342
    Points : 8 960
    Points
    8 960
    Billets dans le blog
    24

    Par défaut

    Google qui prétend donner des leçons sur la sécurité

    https://ici.radio-canada.ca/nouvelle...ermeture-fuite
    À ma connaissance, le seul personnage qui a été diagnostiqué comme étant allergique au mot effort. c'est Gaston Lagaffe.

    Ô Saint Excel, Grand Dieu de l'Inutile.

    Excel n'a jamais été, n'est pas et ne sera jamais un SGBD, c'est pour cela que Excel s'appelle Excel et ne s'appelle pas Access junior.

  4. #4
    Membre chevronné
    Homme Profil pro
    Consultant Ingenierie mécanique
    Inscrit en
    mars 2006
    Messages
    968
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Yvelines (Île de France)

    Informations professionnelles :
    Activité : Consultant Ingenierie mécanique
    Secteur : Transports

    Informations forums :
    Inscription : mars 2006
    Messages : 968
    Points : 2 080
    Points
    2 080

    Par défaut

    les browsers font la loi. on marche pas un peu sur la tète ?

  5. #5
    Expert éminent Avatar de Uther
    Homme Profil pro
    Inscrit en
    avril 2002
    Messages
    3 699
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations forums :
    Inscription : avril 2002
    Messages : 3 699
    Points : 8 998
    Points
    8 998

    Par défaut

    Citation Envoyé par clementmarcotte Voir le message
    Google qui prétend donner des leçons sur la sécurité

    https://ici.radio-canada.ca/nouvelle...ermeture-fuite
    La c'est quand même différent d'une simple faille de sécurité. La fonction première des autorités de certification, c'est d'être un tiers de confiance. C'est sur la crédibilité que l'on leur porte que se base le mécanisme de connexion sécurisé. Si il se sont permis de valider tout et n'importe quoi, c'est normal qu'ils soient retirés.

    Citation Envoyé par Aiekick Voir le message
    les browsers font la loi. on marche pas un peu sur la tète ?
    Non c'est le fonctionnement normal. Les tiers de confiance ne sont pas une obligation légale. C'est juste un service qui est proposé par une société qui engage sa réputation. Si le service est douteux, c'est normal qu'il soit retiré.
    Un navigateur qui accepterait que les connexion sécurisées puissent être usurpées sans rien dire, risquerait lui aussi sa crédibilité.

  6. #6
    Membre éprouvé

    Profil pro
    Chef de Projet / Développeur
    Inscrit en
    juin 2002
    Messages
    418
    Détails du profil
    Informations personnelles :
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Chef de Projet / Développeur
    Secteur : Santé

    Informations forums :
    Inscription : juin 2002
    Messages : 418
    Points : 976
    Points
    976

    Par défaut

    Mon revendeur de certificat m'a prévenu il y a des mois et nous sommes passé de Thawte à Digicert

    Quant aux certificats Let's Encrypt ce n'est guère une bonne solution : il ne sont valable que 90 jours.

    En fait ils posent même un vrai soucis de sécurité car il n'y a aucune vérification de l'identité du demandeur.
    Il est donc très facile de faire un faux sites avec un beau cadena vert, sur lesquels on va attirer des utilisateurs par phising.

    En voyant le candena beaucoup d'utilisateur vont y aller en toute confiance.
    Seul un utilisateur averti, en allant dans le détails du nom de domaine et du certificat verra qu'il s'agit d'un faux site.

    cf : https://www.developpez.com/actu/1267...space-d-un-an/
    --
    vanquish

  7. #7
    Expert éminent Avatar de Uther
    Homme Profil pro
    Inscrit en
    avril 2002
    Messages
    3 699
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations forums :
    Inscription : avril 2002
    Messages : 3 699
    Points : 8 998
    Points
    8 998

    Par défaut

    Le problème n'est pas spécifique à Let's encrypt. Tous les certificats de type DV ont toujours pu être utilisé pour le phising et ce n'est pas leur faible coût qui suffisait à dissuader les arnaqueurs. Mais comme gratuit c'est toujours mieux que pas cher, en effet, Let's encrypt est devenu leur premier choix.

    Le vrai problème c'est que le cadenas seul n'a jamais garanti l'authenticité du site que l'on visite, juste que la connexion était chiffrée. Mais les informaticiens du dimanche ont tellement propagé cette fausse information auprès du grand public que c'est trop tard pour faire comprendre que c'est faux. Du coup, il est grand temps que les navigateurs arrêtent d'afficher le cadenas vert et gardent seulement le cadenas rouge barré pour les connexions pas ou mal sécurisées. C'est prévu par les principaux navigateurs, mais malheureusement ça va devoir se faire sur la durée pour ne pas trop froisser les habitudes des utilisateurs.

  8. #8
    Modérateur
    Avatar de grunk
    Homme Profil pro
    Architecte Web / Android
    Inscrit en
    août 2003
    Messages
    5 207
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : France, Côte d'Or (Bourgogne)

    Informations professionnelles :
    Activité : Architecte Web / Android
    Secteur : Industrie

    Informations forums :
    Inscription : août 2003
    Messages : 5 207
    Points : 13 761
    Points
    13 761

    Par défaut

    Citation Envoyé par vanquish Voir le message
    Mon revendeur de certificat m'a prévenu il y a des mois et nous sommes passé de Thawte à Digicert

    Quant aux certificats Let's Encrypt ce n'est guère une bonne solution : il ne sont valable que 90 jours.
    Tout est fournit pour du renouvellement automatique. J'en ai qui tourne depuis plus d'un an sans avoir jamais eu besoin de m'en occuper.
    Pry Framework php5 | N'oubliez pas de consulter les FAQ Java et les cours et tutoriels Java

  9. #9
    Expert éminent sénior
    Avatar de Médinoc
    Homme Profil pro
    Développeur informatique
    Inscrit en
    septembre 2005
    Messages
    26 799
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : France

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : septembre 2005
    Messages : 26 799
    Points : 39 433
    Points
    39 433

    Par défaut

    Si je me souviens bien, ce qu'un certificat SSL assure, c'est qu'on parle bel et bien à l'adresse affichée (via une vérification que l'adresse e-mail qui demande le certificat appartient à quelqu'un qui a le contrôle du site à l'adresse donnée). Mais ça n'assure en aucun cas que paypal.trustmeimsecure.com appartient à Paypal (du moins, sans les niveaux supplémentaires optionels de sécurité du certificat).

    Et ensuite, il faut savoir comment la première vérification est faite. Que se passe-t-il si quelqu'un fait un DNS poisoning avant d'envoyer une demande de certificat? L'autorité s'y laissera-t-elle prendre? Surtout pour une autorité gratuite comme Let's Encrypt...
    SVP, pas de questions techniques par MP. Surtout si je ne vous ai jamais parlé avant.

    "Aw, come on, who would be so stupid as to insert a cast to make an error go away without actually fixing the error?"
    Apparently everyone.
    -- Raymond Chen.
    Traduction obligatoire: "Oh, voyons, qui serait assez stupide pour mettre un cast pour faire disparaitre un message d'erreur sans vraiment corriger l'erreur?" - Apparemment, tout le monde. -- Raymond Chen.

  10. #10
    Expert éminent Avatar de Uther
    Homme Profil pro
    Inscrit en
    avril 2002
    Messages
    3 699
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations forums :
    Inscription : avril 2002
    Messages : 3 699
    Points : 8 998
    Points
    8 998

    Par défaut

    C'est un peu plus compliqué que ça.

    Il y a 3 types de certificats:
    • Les certificats DV (Domain Validation)
      Comme leur nom l'indique, ils certifient seulement que le domaine n'a pas pu être usurpé.
      Donc quand on est connecté a un site web, on a la garantie que c'est bien le propriétaire du domaine que l'on visite qui envoie les pages que l'on consulte. Les intermédiaires ne connaissent pas le contenu des pages et ne peuvent le modifier.
      Les certificats "Let's encrypt" sont des certificats de type DV.
    • Les certificats OV (Organisation Validation)
      En plus de la validation du domaine, ils valident aussi le nom de la société demandeuse qui devra fournir au tiers de confiance quelques informations légales. Cela fournit un peu plus de garanties que les certificats DV, mais le contrôle reste assez sommaire.
    • Les certificats EV (Extended Validation)
      Leur principe est similaire aux certificats OV : la société propriétaire du certificat est validée par celui ci. Mais ils imposent une procédure de contrôle de l'identité légale du demandeur bien plus poussée. C'est en général une plutôt bonne sécurité, ce qu'il fait que en plus du cadenas, le nom de la société est affiché en vert dans la barre d'adresse du navigateur.


    Évidement plus le certificat nécessite de contrôles, plus il est cher. Et si Symantec a été banni, c'est qu'il s'est avéré que ses procédures de contrôles ne répondaient pas aux standard attendu.

Discussions similaires

  1. Réponses: 11
    Dernier message: 03/07/2014, 18h03
  2. Google Chrome pourrait éventuellement masquer les URL
    Par Stéphane le calme dans le forum Google Chrome
    Réponses: 14
    Dernier message: 14/05/2014, 18h13
  3. Réponses: 2
    Dernier message: 31/07/2012, 11h50
  4. Réponses: 26
    Dernier message: 30/03/2011, 12h39
  5. Réponses: 8
    Dernier message: 08/05/2009, 23h07

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo