Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Connexions sécurisées : Apple révoque les certificats intermédiaires de WoSign

Début d'une vague de blocages ?
Internet 2 min
Connexions sécurisées : Apple révoque les certificats intermédiaires de WoSign
Crédits : lolostock/iStock

Apple vient d’annoncer à son tour que les certificats délivrés par l’autorité chinoise WoSign étaient désormais révoqués. Une décision qui fait suite à celle de Mozilla, mais pas tout à fait pour les mêmes raisons.

Le mouvement de Mozilla était en réaction à ce que l’éditeur n’hésitait pas à qualifier de volonté de tromperie. Depuis le 1er janvier 2016, les certificats SHA-1, jugés trop peu sécurisés, ne sont plus autorisés. L’autorité WoSign a donc antidaté un lot d’anciens certificats, diffusés dans le courant de juin. Résultat des courses, une révocation d’un an, potentiellement définitive si WoSign ne se plie pas à une série de tests d’ici là.

Apple se fâche à son tour

Dans un bulletin dédié, Apple explique pourquoi désormais il en sera de même, la révocation étant directement permanente. La firme indique que même si elle ne reconnait pas les certificats racine de WoSign, l’autorité a utilisé des certifications croisées avec Comodo et StartCom (racheté par WoSign) pour établir une « confiance » avec les produits Apple.

La solution retenue ressemble à celle adoptée par Mozilla. Apple révoque ainsi l’ensemble des certificats croisés et laisse tranquille l’ensemble des individuels publiés jusqu’au 19 septembre, pour ne pas créer de rupture avec tous ceux qui en ont acheté. Ces certificats individuels seront valides jusqu’à expiration ou révocation, « à la discrétion d’Apple ».

Google et Microsoft n'ont pas encore réagi

Il n’est pas impossible que Mozilla, qui était surtout dans la réflexion, suive une ligne plus dure dans le sillage d’Apple. Google et Microsoft les deux autres détenteurs de plateformes majoritaires (et éditeurs de navigateurs), n’ont pas encore réagi. Apple indique de son côté que WoSign a tout simplement échoué à de « multiples contrôles » pour ses certificats intermédiaires Free SSL Certificate G2. Il serait donc étonnant que d’autres sociétés ne réagissent pas également.

On rappellera que les certificats sont un élément essentiel de la chaine de sécurité pour Internet. Ils servent en quelque sorte de carte d’identité et permettent à un site de prouver ce qu’il prétend être. Côté navigateur, le certificat est réclamé pour établir des connexions sécurisées. S’il est révoqué, l’internaute ne peut plus établir un tel lien et est prévenu que la connexion est susceptible de laisser fuiter des données sensibles.

12 commentaires
Avatar de toufou INpactien
Avatar de toufoutoufou- 04/10/16 à 09:15:59

Et voilà donc une société qui va couler.

Avatar de jackjack2 Abonné
Avatar de jackjack2jackjack2- 04/10/16 à 09:24:35

toufou a écrit :

Et voilà donc une société qui va couler.

Espérons-le

Avatar de Krogoth Abonné
Avatar de KrogothKrogoth- 04/10/16 à 09:35:23

Si WoSign coule que va il advenir de tous leurs certificats? Même ceux entièrement valide? Que va il advenir de leurs clients qui avaient un certif chez eux?

Édité par Krogoth le 04/10/2016 à 09:35
Avatar de Obidoub Abonné
Avatar de ObidoubObidoub- 04/10/16 à 09:38:38

Ils iront les faire signer ailleurs.

Avatar de Antwan Abonné
Avatar de AntwanAntwan- 04/10/16 à 09:38:43

Tristesse pour Startcom qui était sympa :(
Qui va proposer des certificats S/MIME gratuits ... ?

Avatar de Orphee Abonné
Avatar de OrpheeOrphee- 04/10/16 à 10:06:42

J'avais depuis quelques années un certificat gratuit Startcom... je n'ai pas vraiment compris s'ils sont impliqué dans la mesure, mais je lorgnais depuis quelque temps sur Let's Encrypt... J'ai migré hier après midi... ça c'est bien passé à priori...

Avatar de jackjack2 Abonné
Avatar de jackjack2jackjack2- 04/10/16 à 10:18:58

Orphee a écrit :

J'avais depuis quelques années un certificat gratuit Startcom... je n'ai pas vraiment compris s'ils sont impliqué dans la mesure, mais je lorgnais depuis quelque temps sur Let's Encrypt... J'ai migré hier après midi... ça c'est bien passé à priori...

Ca me fait penser, c'est fou le nombre de site avec des certificats Let's Encrypt expirés.

 
 

Antwan a écrit :

Tristesse pour Startcom qui était sympa :(
Qui va proposer des certificats S/MIME gratuits ... ?

J'avoue que j'en ai pas l'utilité. C'était les seuls?

Avatar de Orphee Abonné
Avatar de OrpheeOrphee- 04/10/16 à 10:41:44

J'ai mis en crontab le script renew... On verra bien si ça fonctionne...

Édité par Orphee le 04/10/2016 à 10:41
Avatar de jackjack2 Abonné
Avatar de jackjack2jackjack2- 04/10/16 à 11:02:48

Orphee a écrit :

J'ai mis en crontab le script renew... On verra bien si ça fonctionne...

Au pire lance-le une fois par semaine d'ici à ce que tu sois sûr
Ils autorisent 5 renouvellements par domaine par semaine

Avatar de Orphee Abonné
Avatar de OrpheeOrphee- 04/10/16 à 11:10:02

jackjack2 a écrit :

Au pire lance-le une fois par semaine d'ici à ce que tu sois sûr
Ils autorisent 5 renouvellements par domaine par semaine

J'ai lu un peu la doc et j'ai cru comprendre que le script renew ne lance réellement la requête que quand il ne reste que 30 jours avant expiration du certificat...

 Ils conseillent de le faire tourner 2 fois par jour...
&nbsphttps://certbot.eff.org/#ubuntuxenial-apache
&nbsphttps://certbot.eff.org/docs/using.html#renewal
 

Il n'est plus possible de commenter cette actualité.
Page 1 / 2