Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

GoDaddy : à cause d'un « bug logiciel », des milliers de certificats SSL révoqués

GoNouveauCertificat
Internet 2 min
GoDaddy : à cause d'un « bug logiciel », des milliers de certificats SSL révoqués
Crédits : Rizvan3d/iStock/Thinkstock

GoDaddy a dû révoquer les certificats SSL de près de 6 100 clients. En cause, un bug de vérification qui pouvait conduire à valider incorrectement une demande. Les certificats concernés ont été émis entre le 29 juillet 2016 et le 10 janvier 2017.

GoDaddy est une entreprise spécialisée dans la gestion de noms de domaine, et c'est également une autorité de certification (CA). Problème, à cause d'un « bug logiciel », la société a dû révoquer les certificats SSL d'environ 6 100 clients sur les six derniers mois.

La vérification pouvait aboutir sans le code de vérification

Normalement, lorsqu'un site web demande un certificat SSL, GoDaddy (ou n'importe quelle autorité de certification) délivre un code aléatoire à son client et lui demande de le placer sur son site. GoDaddy vérifie alors qu'il est bien présent, validant ainsi le processus. 

Problème, lorsque le bug a été introduit le 29 juillet 2016, « certaines configurations de serveurs Web » pouvaient conduire à des faux positifs de la part de GoDaddy. Pour résumer, des certificats ont pu être validés alors que le code de vérification n'était pas présent sur le site web.

La société a donc décidé de révoquer les certificats incriminés, ce qui concerne environ 6 100 clients et 2 % des certificats émis entre le 29 juillet 2016 et le 10 janvier 2017. Bien évidemment, le souci a été corrigé du côté de chez GoDaddy pour éviter que cela ne se reproduise.

De nouveaux certificats ont été demandés par GoDaddy

Pour ses clients concernés, la société explique qu'elle a « déjà soumis une nouvelle demande de certificat en votre nom sans frais supplémentaires ». Il suffit de vous connecter à votre compte, puis d'aller dans la partie de gestion des certificats SSL et de lancer le processus. Une fois le nouveau certificat en place, une notification vous sera envoyée.

Dans tous les cas, si votre certificat est révoqué, votre site continuera d'être accessible aux internautes, mais un message d'erreur ou une alerte pourra être affiché par le navigateur pour indiquer le souci. GoDaddy annonce enfin qu'il n'a eu aucun retour sur une éventuelle utilisation frauduleuse d'un certificat.

11 commentaires
Avatar de Xaelias INpactien
Avatar de XaeliasXaelias- 16/01/17 à 15:08:52

Ça aurait été cool de laisser un délai de genre 48 ou 72 heures aux sites en question pour qu'ils aient une possibilité de mettre en place le nouveau certificat sans downtime...
Bon au moins ils ont fait quelque chose mais...

Avatar de alegui INpactien
Avatar de aleguialegui- 16/01/17 à 15:11:20

On peut pas dire que ça soit très rassurant de la part de GoDaddy...
M'enfin, c'est pas comme s'ils avaient déjà été épinglés pour une sécurité plutôt laxiste (des problèmes d'ingénierie sociale...)
Et j'ajouterai qu'avec le soutien qu'ils avaient affiché pour la SOPA (même si c'est un peu vieux) et les promotions chez les concurrents, il n'y a  pas vraiment de raison d'aller chez eux

Édité par alegui le 16/01/2017 à 15:14
Avatar de Tarvos INpactien
Avatar de TarvosTarvos- 16/01/17 à 17:29:27

Pourquoi y'a t'il plusieurs boutiques qui gèrent les certificats SSL, une seule ne serait elle pas plus efficace ? 
 

Avatar de fred42 INpactien
Avatar de fred42fred42- 16/01/17 à 17:45:27

Pourquoi y a-t-il plusieurs opérateurs télécoms, un seul ne serait-il pas plus efficace ?

Avatar de alegui INpactien
Avatar de aleguialegui- 16/01/17 à 18:25:50

Pourquoi il y a autant d'états dans le monde, et autant de votants dans une démocratie ? Ce serait beaucoup plus simple avec un seul état dirigé par un dictateur (bienveillant bien entendu)!

Édité par alegui le 16/01/2017 à 18:26
Avatar de Tarvos INpactien
Avatar de TarvosTarvos- 16/01/17 à 20:04:23

fred42 a écrit :

Pourquoi y a-t-il plusieurs opérateurs télécoms, un seul ne serait-il pas plus efficace ?

alegui a écrit :

Pourquoi il y a autant d'états dans le monde, et autant de votants dans une démocratie ? Ce serait beaucoup plus simple avec un seul état dirigé par un dictateur (bienveillant bien entendu)!

Merci de vos réponses ( pas très sympas ) mais Je pense que vous avez mal compris ma question.
 
Je ne connais pas la gestion des SSL. Donc pourquoi y'a t'il plusieurs boutiques qui gèrent les SSL. -Argent/Pouvoir/contrôle sur le NET etc....

 PS: Plutôt que de commencer vos message par POURQUOI blablabla + imbécilités:.
      Ne serait il pas plus simple de répondre a ma question en expliquant la gestion des SSL ?

 EDIT
       Oulala , j ai pas penser a la démocratie et a la concurrence
                                    N'IMPORTE QUOI
 
 

Édité par Tarvos le 16/01/2017 à 20:08
Avatar de SebGF Abonné
Avatar de SebGFSebGF- 16/01/17 à 21:25:24

N'importe qui peut générer un certificat. Il suffit d'installer les outils sur son poste, comme OpenSSL par exemple.
La seule différence avec ces revendeurs, c'est qu'ils sont considérés comme des "autorités de certification de confiance". Etant donné que toute cette chaîne repose sur la confiance (l'autorité est reconnue comme étant de confiance par l'éditeur de ton navigateur Web, de ton OS, etc), il vaut mieux avoir plusieurs acteurs. Il est en effet déjà arrivé que les clés privés d'autorités de certification se fassent détourner pour simplifier.
Si tu génères ton propre certificat pour ton service Web, puisque tu n'es pas considéré comme "de confiance", ton navigateur t'affichera un message anxiogène t'invitant à quitter le site.

Plusieurs acteurs, ça réduit les risques à ce niveau plutôt qu'une seule entité monolithique.

Accessoirement, ça donne un peu de concurrence sur le secteur. C'est un domaine qui est principalement réservé aux professionnels et le coût d'un certificat est juste prohibitif pour une petite entité. Ou alors très limité, par exemple Gandi proposait des certifs pour 1 domaine à 15€/an. Sinon la facture monte très vite à plusieurs milliers d'euros car les acteurs ont aussi des assurances pour garantir la sécurité des transactions.
Mais depuis Let's Encrypt qui propose des certificats gratuitement, ça apporte cette possibilité à moindre coût pour une petite entité.

Pour revenir à cette petite histoire sinon, j'ai hâte de voir les futures lois des petits censeurs du Web qui comprendront qu'ordonner la révocation du certificat sera un bon moyen pour bloquer un site. Comme l'Internet utilise de plus en plus les protocoles en version sécurisé, les dégâts risquent d'être considérables à ce niveau.

Édité par SebGF le 16/01/2017 à 21:27
Avatar de tutosfaciles48 INpactien
Avatar de tutosfaciles48tutosfaciles48- 17/01/17 à 12:44:26

:cap:

 

Avatar de alegui INpactien
Avatar de aleguialegui- 17/01/17 à 18:52:50

Désolé, je pensais avoir affaire à un troll plutôt qu'une vraie question. Ma réponse voulait surtout dire : ce n'est ni possible ni souhaitable. Puisque créer un certificat est quelque chose de faisable par n'importe qui, la question est de savoir comment on y fait confiance ; deux modèles ont pour le moment été trouvés : celui des certificats X.509 (dits "certificats SSL")  qui utilisent le principe de tiers de confiance, et celui de la chaîne de confiance, où tu fais confiance à tes proches (je connais untel, je fais confiance à ceux auquels il fait confiance...). Les deux systèmes ont leurs avantages et leurs inconvénients.

Avatar de alegui INpactien
Avatar de aleguialegui- 17/01/17 à 18:54:42

Désolé, je pensais avoir affaire à un troll plutôt qu'une vraie
question. Ma réponse voulait surtout dire : ce n'est ni possible ni
souhaitable. Puisque créer un certificat est quelque chose de faisable
par n'importe qui, la question est de savoir comment on y fait confiance
; deux modèles ont pour le moment été trouvés : celui des certificats
X.509 (dits "certificats SSL")  qui utilisent le principe de tiers de
confiance, et celui de la chaîne de confiance (type PGP), où tu fais confiance à
tes proches (je connais untel, je fais confiance à ceux auquels il fait
confiance...). Les deux systèmes ont leurs avantages et leurs
inconvénients.

Il n'est plus possible de commenter cette actualité.
Page 1 / 2