IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Google et Mozilla envisagent de limiter à 60 mois la validité d'un certificat
Sur leur navigateurs

Le , par Stéphane le calme

81PARTAGES

1  0 
Suite à certaines réserves émises par les autorités de certifications (CAs), Google a décidé de revoir le temps pendant lequel ses certificats digitaux devaient être validés. Le Certification Authority Browser (CA/B) suggère de ne pas valider un certificat sur une période supérieure à 60 mois. D'ailleurs à cet effet le CA/B a publié Baseline Requirements, un document qui compile une liste de recommandations pour les CAs et la délivrance de certificats.


« A la suite d'une analyse approfondie de certificats disponibles et découvrables publiquement ainsi que de la discussion animée entre les membres du forum CA/B [Certificate Authority/Browser Forum], nous avons décidé de mettre bientôt sur pied des contrôles dans les navigateurs Google Chrome et Chromium afin de nous assurer de la conformité au Baseline Requirements » a expliqué Ryan Sleevi, un membre de l'équipe Google Chrome.

Google précise que ces changements prendront effet au début de l'année prochaine et que tous les certificats issus après la publication effective du Baseline Requirements (1er juillet 2012) se verront rejetés s'ils ont une valeur supérieure à 60 mois.

Mozilla emboîte le pas à Google et ouvre une discussion sur le sujet sur BugZilla. « Tout le monde est d'avis que les certifications délivrées récemment sont incompatibles au Baseline Requirements. » dit Gervase Markham qui s'occupe des problèmes liés aux projets d'administration de Mozilla sur BugZilla. Suite à la décision de Google, il estime que Mozilla devrait « envisager de faire la même chose ».

Ces deux dernières années, les CAs ont connu des attaques des plus désastreuses, à l'instar de celles perpétrées contre Comodo. Comodo est un émetteur important de certificats de sécurité SSL, qui s'est vu délivrer à tort neuf certificats SSL frauduleux pour sept domaines Web, y compris Google.com, Yahoo.com et Skype.com suite à la compromission de la sécurité d'une de ses filiales.

Suite à une attaque des CA, il revient généralement aux éditeurs de navigateurs de retirer la confiance de certificats compromis pour protéger leurs utilisateurs. Pour Sleevi, bien que limiter la durée de validité des certificats ne soit pas une solution miracle, le raccourcissement de la période de validité peut réduire la pratique consistant à délivrer en continu des certificats qui ont déjà été approuvés.

Sources : forum CA/B, Baseline Requirements (au format PDF), BugZilla, ThreatPost

Et vous ?

Qu'en pensez-vous ?

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de Uther
Expert éminent sénior https://www.developpez.com
Le 27/08/2013 à 9:28
Ça parait logique et je suis surpris que ça ne soit pas déjà le cas.
En matière de sécurité 5 ans c'est déjà très long, plus c'est clairement dangereux
1  0 
Avatar de gangsoleil
Modérateur https://www.developpez.com
Le 27/08/2013 à 9:58
5 ans, c'est deja beaucoup trop. Pourquoi ne pas limiter a 1 an ???
1  0 
Avatar de Uther
Expert éminent sénior https://www.developpez.com
Le 28/08/2013 à 11:15
C'est différent. La mise a jour des certificats, c'est une mise a jour de sécurité et même les boites qui utilisent IE6 font encore des mises à jour de sécurité (du moins toutes celles qui n'ont pas un administrateur sénile). Ça ne touche aucune fonctionnalité et c'est normalement totalement transparent.

Une mise à jour majeure, ça a un impact potentiel sur le fonctionnement, ce qui explique les réticence de montée de version.
1  0 
Avatar de CapFlow
Membre actif https://www.developpez.com
Le 27/08/2013 à 14:43
Citation Envoyé par gangsoleil Voir le message
5 ans, c'est deja beaucoup trop. Pourquoi ne pas limiter a 1 an ???
Surement pour les problèmes d'entreprises. Quand on sait que certains ordinateurs tournent encore sur IE6-IE7 voir IE8 (pas le choix pour XP ^^, mais IE8 est déjà bien mieux que ses prédécesseurs), je pense pas que 1 an soit assez pour que les entreprises mettent a jour leur navigateurs.
0  0 
Avatar de Uther
Expert éminent sénior https://www.developpez.com
Le 27/08/2013 à 15:00
Rien n’empêche de garder un vieux navigateur et de mettre a jour ces certificats.
0  0 
Avatar de CapFlow
Membre actif https://www.developpez.com
Le 28/08/2013 à 10:56
Citation Envoyé par Uther Voir le message
Rien n’empêche de garder un vieux navigateur et de mettre a jour ces certificats.
C'est bête de faire une mise à jour sans en faire une autre ^^
0  0