Discussion :

[Stéphane le calme]

Google et Mozilla envisagent de limiter à 60 mois la validité d'un certificat
sur leur navigateurs

Suite à certaines réserves émises par les autorités de certifications (CAs), Google a décidé de revoir le temps pendant lequel ses certificats digitaux devaient être validés. Le Certification Authority Browser (CA/B) suggère de ne pas valider un certificat sur une période supérieure à 60 mois. D'ailleurs à cet effet le CA/B a publié Baseline Requirements, un document qui compile une liste de recommandations pour les CAs et la délivrance de certificats.

« A la suite d'une analyse approfondie de certificats disponibles et découvrables publiquement ainsi que de la discussion animée entre les membres du forum CA/B [Certificate Authority/Browser Forum], nous avons décidé de mettre bientôt sur pied des contrôles dans les navigateurs Google Chrome et Chromium afin de nous assurer de la conformité au Baseline Requirements » a expliqué Ryan Sleevi, un membre de l'équipe Google Chrome.

Google précise que ces changements prendront effet au début de l'année prochaine et que tous les certificats issus après la publication effective du Baseline Requirements (1er juillet 2012) se verront rejetés s'ils ont une valeur supérieure à 60 mois.

Mozilla emboîte le pas à Google et ouvre une discussion sur le sujet sur BugZilla. « Tout le monde est d'avis que les certifications délivrées récemment sont incompatibles au Baseline Requirements. » dit Gervase Markham qui s'occupe des problèmes liés aux projets d'administration de Mozilla sur BugZilla. Suite à la décision de Google, il estime que Mozilla devrait « envisager de faire la même chose ».

Ces deux dernières années, les CAs ont connu des attaques des plus désastreuses, à l'instar de celles perpétrées contre Comodo. Comodo est un émetteur important de certificats de sécurité SSL, qui s'est vu délivrer à tort neuf certificats SSL frauduleux pour sept domaines Web, y compris Google.com, Yahoo.com et Skype.com suite à la compromission de la sécurité d'une de ses filiales.

Suite à une attaque des CA, il revient généralement aux éditeurs de navigateurs de retirer la confiance de certificats compromis pour protéger leurs utilisateurs. Pour Sleevi, bien que limiter la durée de validité des certificats ne soit pas une solution miracle, le raccourcissement de la période de validité peut réduire la pratique consistant à délivrer en continu des certificats qui ont déjà été approuvés.

Sources : forum CA/B, Baseline Requirements (au format PDF), BugZilla, ThreatPost

Et vous ?

Qu'en pensez-vous ?

[Uther]

Ça parait logique et je suis surpris que ça ne soit pas déjà le cas.
En matière de sécurité 5 ans c'est déjà très long, plus c'est clairement dangereux

[gangsoleil]

5 ans, c'est deja beaucoup trop. Pourquoi ne pas limiter a 1 an ???

[CapFlow]

5 ans, c'est deja beaucoup trop. Pourquoi ne pas limiter a 1 an ???

Surement pour les problèmes d'entreprises. Quand on sait que certains ordinateurs tournent encore sur IE6-IE7 voir IE8 (pas le choix pour XP ^^, mais IE8 est déjà bien mieux que ses prédécesseurs), je pense pas que 1 an soit assez pour que les entreprises mettent a jour leur navigateurs.

[Uther]

Rien n’empêche de garder un vieux navigateur et de mettre a jour ces certificats.

[CapFlow]

Rien n’empêche de garder un vieux navigateur et de mettre a jour ces certificats.

C'est bête de faire une mise à jour sans en faire une autre ^^

[Uther]

C'est différent. La mise a jour des certificats, c'est une mise a jour de sécurité et même les boites qui utilisent IE6 font encore des mises à jour de sécurité (du moins toutes celles qui n'ont pas un administrateur sénile). Ça ne touche aucune fonctionnalité et c'est normalement totalement transparent.

Une mise à jour majeure, ça a un impact potentiel sur le fonctionnement, ce qui explique les réticence de montée de version.