Le mois dernier, après avoir mené des enquêtes suite à des incidents auxquels les autorités de certification WoSign et StartCom étaient mêlées, Mozilla a envisagé de révoquer les certificats issus par ces autorités pendant un an.
Suite à cette conclusion, c’est Apple qui lui emboîte le pas. Sur une des pages réservées au support technique, l’entreprise a rappelé que l’autorité de certification WoSign a connu plusieurs défaillances de contrôle dans ses processus d’émission de certificats SSL. Bien qu'aucune racine WoSign ne soit dans la liste des racines approuvées d'Apple, l’éditeur d’iOS affirme que cette autorité se sert de certificats signés issus de sa relation avec StartCom et Comodo pour établir la confiance sur les produits Apple.
« À la lumière de ces résultats, nous prenons des mesures pour protéger les utilisateurs dans une prochaine mise à jour de sécurité », a déclaré Apple qui a d’ores et déjà décidé de révoquer les certificats SSL issus par WoSign.
« Pour éviter toute interruption aux titulaires existant de certificats WoSign et pour permettre leur transition vers des racines de confiance, les produits Apple vont accorder une confiance individuelle aux certificats existants émis depuis cette autorité et publiés dans les journaux des serveurs Certificate Transparency après la date du 19/09/2016 ». La confiance sera maintenue jusqu'à l’expiration de la période de validité de ces certificats. Toutefois, Apple se réserve le droit de les révoquer ou de les déclarer comme non fiables.
« Tandis que l'enquête progresse, nous allons prendre des mesures supplémentaires à appliquer aux ancres de confiance de WoSign / StartCom dans les produits Apple qui vont s’avérer nécessaires pour protéger les utilisateurs ». Ces décisions sont appliquées à la fois sur iOS et MacOS. Contrairement à Mozilla, Apple n’a pas donné de limite dans le temps à l’application de cette sanction, l’éditeur d’iOS n’a pas indiqué si elle est permanente ou non, si la situation peut être inversée dans le futur.
Mozilla doit rencontrer les représentants de WoSign et StartCom cette semaine afin de clarifier les évènements récents. La fondation va décider si elle applique la sanction de la révocation des certificats de ces deux autorités pendant un an après cet entretien.
Pendant ce temps, WoSign, qui est l’autorité de certification la plus importante en Chine, a admis publiquement avoir acheté StartCom et recherche activement un moyen de trouver un terrain d’entente avec Mozilla pour éviter le bannissement de ses certificats. Il faut dire que la pression est énorme : d’autres éditeurs de navigateurs comme Google et Microsoft sont susceptibles d’emboîter le pas à Mozilla et Apple, mettant ainsi l’existence même de ces deux autorités en danger.
Source : décision d'Apple (iOS), décision d'Apple (MacOS), annonce de WoSign sur la gestion de StartCom, prise de rendez-vous entre les différentes entités pour éclaircissements
Révocation des certificats WoSign/StartCom : Apple a décidé de les bloquer sur iOS et OS X
Pour une durée indéterminée
Révocation des certificats WoSign/StartCom : Apple a décidé de les bloquer sur iOS et OS X
Pour une durée indéterminée
Le , par Stéphane le calme
Une erreur dans cette actualité ? Signalez-nous-la !