IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Google, Microsoft et Mozilla bannissent une autre autorité de certification,
Digicert a émis 22 certificats faibles et incomplets

Le , par Idelways

5PARTAGES

3  0 
Les géants de l'Internet, décontenancés par le fiasco DigiNotar, semblent avoir instauré un régime de tolérance zéro.

Microsoft, Mozilla et Google viennent de révoquer toute confiance aux certificats de sécurité émis par l'autorité intermédiaire Malisienne Digicert. Et pour cause, la diffusion de 22 certificats ayant une clé privée faible (à 512-bit), entre autres manquements aux standards de la sécurité.

Digicert, certifié par l'autorité root Entrust, a omis d'inclure les informations de révocation, l'Extended (ou Enhanced) Key Usage (EKU) et les désignations.

D'après un porte-parole de Microsoft, « il n'y a pas de preuve que des certificats ont été frauduleusement émis, mais ces clés faibles ont permis de compromettre quelques certificats [...] l'autorité de certification intermédiaire [Digicert] a clairement démontré de médiocres pratiques de sécurité, et Microsoft a l'intention de révoquer sa confiance dans ces certificats intermédiaires », peut on lire sur un billet de blog.

De son côté, Entrust révoquera tous les certificats de Digicert d'ici jeudi prochain, laissant un délai relativement court pour que les clients de son intermédiaire changent de fournisseur. La liste des certificats a été communiquée aux éditeurs de navigateurs qui entreprennent de les blacklister.

Mozilla ne fait pas non plus dans la demi-mesure, et bannira tous les certificats dès Firefox 8 prévu pour le 17 novembre, et la version 3.6.24 du panda roux, qui sortira la semaine prochaine.

Des démarches similaires sont en cours par l'équipe de Chromium.

Les 22 certificats incriminés appartiennent à des « sites Web et des systèmes internes du gouvernement malaisien », ce qui laisse planer le doute sur une éventuelle main criminelle. Sur son site Digicert affirme être certifié par le gourvnement malaisien et ses « solutions de confiance sont légalement reconnues par la loi malaisienne ».

Source : Microsoft, Mozilla, Google, Digicert

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de 6-MarViN
Membre confirmé https://www.developpez.com
Le 04/11/2011 à 17:11
Citation Envoyé par Idelways Voir le message
Sur son site Digicert affirme être certifié par le gouvernement malaisien et ses « solutions de confiance sont légalement reconnues par la loi malaisienne ».
Ah c'est sur la malaisie, ça c'est un pays de confiance. Pour ce qui est des composants electroniques, je veux bien, mais pour les solutions de sécurités... pas sûr.

Comme quoi le fiasco Diginotar a eu la conséquence de sensibiliser les industries du web à se méfier des certificats utilisés, me s'ils s'avèrent légitimes à première vue. C'est une bonne chose.
0  0