Apple vient d’annoncer à son tour que les certificats délivrés par l’autorité chinoise WoSign étaient désormais révoqués. Une décision qui fait suite à celle de Mozilla, mais pas tout à fait pour les mêmes raisons.
Le mouvement de Mozilla était en réaction à ce que l’éditeur n’hésitait pas à qualifier de volonté de tromperie. Depuis le 1er janvier 2016, les certificats SHA-1, jugés trop peu sécurisés, ne sont plus autorisés. L’autorité WoSign a donc antidaté un lot d’anciens certificats, diffusés dans le courant de juin. Résultat des courses, une révocation d’un an, potentiellement définitive si WoSign ne se plie pas à une série de tests d’ici là.
Apple se fâche à son tour
Dans un bulletin dédié, Apple explique pourquoi désormais il en sera de même, la révocation étant directement permanente. La firme indique que même si elle ne reconnait pas les certificats racine de WoSign, l’autorité a utilisé des certifications croisées avec Comodo et StartCom (racheté par WoSign) pour établir une « confiance » avec les produits Apple.
La solution retenue ressemble à celle adoptée par Mozilla. Apple révoque ainsi l’ensemble des certificats croisés et laisse tranquille l’ensemble des individuels publiés jusqu’au 19 septembre, pour ne pas créer de rupture avec tous ceux qui en ont acheté. Ces certificats individuels seront valides jusqu’à expiration ou révocation, « à la discrétion d’Apple ».
Google et Microsoft n'ont pas encore réagi
Il n’est pas impossible que Mozilla, qui était surtout dans la réflexion, suive une ligne plus dure dans le sillage d’Apple. Google et Microsoft les deux autres détenteurs de plateformes majoritaires (et éditeurs de navigateurs), n’ont pas encore réagi. Apple indique de son côté que WoSign a tout simplement échoué à de « multiples contrôles » pour ses certificats intermédiaires Free SSL Certificate G2. Il serait donc étonnant que d’autres sociétés ne réagissent pas également.
On rappellera que les certificats sont un élément essentiel de la chaine de sécurité pour Internet. Ils servent en quelque sorte de carte d’identité et permettent à un site de prouver ce qu’il prétend être. Côté navigateur, le certificat est réclamé pour établir des connexions sécurisées. S’il est révoqué, l’internaute ne peut plus établir un tel lien et est prévenu que la connexion est susceptible de laisser fuiter des données sensibles.
