Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Mozilla veut bannir deux autorités ayant antidaté leurs certificats SHA-1

Les neuf vies du SHA-1
Logiciel 4 min
Mozilla veut bannir deux autorités ayant antidaté leurs certificats SHA-1
Crédits : lolostock/iStock

Mozilla souhaite actuellement bannir l’autorité de certification WoSign de ses listes approuvées pour avoir cumulé les comportements suspects. L’entreprise est accusée d’avoir antidaté de vieux certificats SHA-1, rejetés depuis le 1er janvier dernier.

Une autorité de certification est un élément important de la chaine de sécurité. Elle fournit des certificats, autrement dit des signatures électroniques servant de preuve qu’une entité est bien ce qu’elle prétend être. Lorsque vous visitez un site web et que le navigateur affiche un symbole vert dans la barre d’adresse, il vous indique en fait que le site est authentique et qu’il ne s’agit donc pas d’une tromperie.

Des certificats antidatés pour éviter le rejet du SHA-1

Mais si l’autorité de certification n’est pas digne de confiance (via une liste précise de critères), tout peut être remis en question. C’est ainsi que Mozilla s’apprête à bannir l’autorité chinoise WoSign pour avoir adopté des comportements problématiques. Le plus important est la diffusion de vieux certificats SHA-1, alors que ces derniers, jugés peu fiables, ont été remis au rebut par l’ensemble des éditeurs de navigateurs, avant une date limite fixée au 1er janvier 2016. La solution adoptée par WoSign selon Mozilla ? Les certificats sont antidatés à décembre 2015.

Le rejet systématique a cependant des exceptions. Les éditeurs qui passent à travers un processus complexe et strict peuvent quand même faire valider leurs anciens certificats SHA-1, en montrant patte blanche. Ce fut par exemple le cas de Symantec pour neuf certificats. WoSign, selon Mozilla, a refusé cependant de passer par ce sas de validation. Mais si l’autorité a vraiment antidaté ses précieux sésames, c’est évidemment qu’elle comptait faire comme si tout était normal. Dès lors, pourquoi passer par un processus d’exception ?

Un rachat nié par WoSign

Autre point souligné par Mozilla : WoSign aurait racheté en secret une autorité de certification israélienne, StartCom. Or, la société chinoise nie cette opération, alors que Mozilla fournit un certain nombre d’éléments, indiquant que le rachat a été finalisé le 1er novembre 2015, soit deux mois avant l’entrée en vigueur du blocage des certificats SHA-1. En outre, Mozilla indique que StartCom a commencé à diffuser des certificats via l’infrastructure de WoSign après son rachat, avec la même « astuce » en 2016 : ils seraient antidatés.

Un lâcher de vieux certificats en juin dernier

L’enquête de Mozilla est remontée jusqu’à Tyro, une plateforme de paiement qui a essentiellement travaillé avec l’autorité GeoTrust pendant plusieurs années. En juin dernier, elle s’est mise tout à coup à utiliser un certificat SHA-1 provenant de StartCom, de qui Tyro n’avait jamais rien acheté. Ce dernier apparaissait comme ayant été signé le 20 décembre 2015.

En creusant un peu plus, Mozilla a découvert qu’un certain nombre d’entreprises avaient déployé des certificats StartCom au début de l’été. Pour le père de Firefox, il s’agissait d’un signal clair qu’ils étaient antidatés, car il n’existait pas de raison valable pour expliquer un tel écart entre leur signature en décembre et leur utilisation en juin. La manière dont ils étaient soudainement utilisés laissait penser qu’une réserve avait tout simplement été mise de côté en attendant d’être exploitée plus tard.

Un bannissement d'un an, voire définitif

Mozilla a fini par lister un certain nombre d’incidents de ce type. Un bannissement d’un an sur tout ce qui proviendrait de WoSign et StartCom a donc toutes les chances d'être décrété, en réponse à une volonté de tromper sur la sécurité de ses certificats. Ce blocage ne concerne que les nouveaux certificats qui seront émis, et non ceux en cours d’utilisation. Si Firefox rencontre un nouveau certificat WoSign ou StartCom, il considérera donc que la connexion n’est pas sécurisée.

De plus, une série de tests sera imposée aux deux entreprises. Si elles ne les passent pas - que ce soit par refus ou par défaut technique quelconque – Mozilla envisage sérieusement un bannissement permanent. L’éditeur rappelle dans un document qu’une autorité de certification cherchant à tromper ses clients, les navigateurs et les utilisateurs risque de briser l’intégralité de la chaine de confiance.

Les autres éditeurs ont été contactés

Bien sûr, on peut se demander si une décision seule par Mozilla peut avoir un impact réellement significatif sur la situation. Mais l’éditeur a déjà signalé le problème aux autres entreprises produisant des navigateurs. C’est d’ailleurs aussi l’objet du document de synthèse publié : indiquer aux différents acteurs potentiellement impliqués pourquoi il faut bannir pendant au moins un an WoSign et StartCom.

WoSign, de son côté, indique que les certificats « fautifs » seront révoqués au plus tard le 31 décembre de cette année. Selon l’entreprise, le délai tiendrait au temps qu’il a fallu pour répercuter la décision de ne plus émettre de certificat SHA-1. Mozilla s’étonne pour sa part d’un tel écart, jugeant le changement relativement simple à mettre en place.

75 commentaires
Avatar de dylem29 Abonné
Avatar de dylem29dylem29- 27/09/16 à 09:57:24

Ah, les chinois.... :D

D'ailleurs, est-ce que quelqu'un a des nouvelles du rachat d'Opera? 
J'ai plus de nouvelle, j'hésite à le désinstaller du coup. :D 

Avatar de KP2 Abonné
Avatar de KP2KP2- 27/09/16 à 10:08:09

Putain, ca fait chier... si ils degagnet StartCom aussi (=startssl), ca va faire mal sur le net mondial car ils faisaient partie des moins chers du marché donc ils sont fatalement très utilisés...

Avatar de Soriatane Abonné
Avatar de SoriataneSoriatane- 27/09/16 à 10:09:50

Mozilla fait son travail de contrôle.

De nombreuses entreprises dites de sécurité ont râlé quand Firefox, Chrome, IE & Co ont dit qu'ils arrêtaient les certificats SHA-1 alors que c'était une décision de l'IETF depuis plus d'un an.

Visiblement certains ont du vouloir jouer au plus malins.

Avatar de ever4engel INpactien
Avatar de vampire7 INpactien
Avatar de vampire7vampire7- 27/09/16 à 10:12:34

Pourquoi ne pas en profiter pour parler du problème des pilotes sous Vista x64 ?

Vista x64 requiert obligatoirement des pilotes signés. Même en mode "test-signing", il faut au moins qu'ils soient auto-signés.
Mais Vista ne gère pas le SHA-256. En mode utilisateur, avec le SP2 et la mise à jour appropriée, c'est possible. Mais il n'y a aucune mise à jour à ce niveau-là en mode noyau.
Or, les nouveaux certificats "Extended Validation" requis pour Windows 10, initialement prévu pour 3 mois après la sortie de Windows 10, finalement reporté à la version 1607, ne fonctionnent plus avec SHA-1.

Par conséquent, si vous voulez un pilote fonctionnant sous Windows 10 et Server 2016, vous devez faire une croix sur Vista. Sauf éventuellement en double-signant avec un certificat non EV. Sachant que les certificats EV sont déjà 2 fois plus chers, là, vous triplez le prix juste pour avoir une compatibilité avec tous les systèmes actuellement supportés.
Les grosses boites le feront, les petits développeurs à leur compte feront l'impasse sur la compatibilité avec Vista. Mais par contre, ça pourra s'installer sous XP...

Avatar de animus INpactien
Avatar de animusanimus- 27/09/16 à 10:12:43

dylem29 a écrit :

Ah, les chinois.... :D  

Ouais en l'occurrence, c'est plus les israéliens que les chinois. :chinois:

Je me suis toujours méfier de startSSL, vu leur approche gratuite et l'activité du pays dans l'espionnage sur internet... 

Avatar de KP2 Abonné
Avatar de KP2KP2- 27/09/16 à 10:13:09

ever4engel a écrit :

ya Let's Encrypt qui est gratuit.

Oui mais c'est récent comparé a StartSSL... tu passes pas des millions de sites vers let's encrypt du jour au lendemain.

Avatar de KP2 Abonné
Avatar de KP2KP2- 27/09/16 à 10:14:07

vampire7 a écrit :

Pourquoi ne pas en profiter pour parler du problème des pilotes sous Vista x64 ?

Parce que ca n'a aucun rapport ?

Édité par KP2 le 27/09/2016 à 10:14
Avatar de letter Abonné
Avatar de letterletter- 27/09/16 à 10:15:06

Let's Encrypt ne fait pas le multi-domaine sur un certificat ni le wilrcard.
Autant le second est payant chez startssl, ce n'est pas le cas du multi-domaine et c'est bien pratique quand plusieurs url renvoient vers le même serveur.

Avatar de Arcadio Abonné
Avatar de ArcadioArcadio- 27/09/16 à 10:17:32

C'est clair que ça va faire mal si tous les certifs startssl sont révoqués... :roll: en plus les certificats gratuits venait de passer de 1 à 3 ans -> c'est pas du Let's Encrypt avec leurs 3 mois... :sniff

Il n'est plus possible de commenter cette actualité.
Page 1 / 8