Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Révocation des certificats WoSign/StartCom : Apple a décidé de les bloquer sur iOS et OS X
Pour une durée indéterminée

Le , par Stéphane le calme

106PARTAGES

9  0 
Le mois dernier, après avoir mené des enquêtes suite à des incidents auxquels les autorités de certification WoSign et StartCom étaient mêlées, Mozilla a envisagé de révoquer les certificats issus par ces autorités pendant un an.

Suite à cette conclusion, c’est Apple qui lui emboîte le pas. Sur une des pages réservées au support technique, l’entreprise a rappelé que l’autorité de certification WoSign a connu plusieurs défaillances de contrôle dans ses processus d’émission de certificats SSL. Bien qu'aucune racine WoSign ne soit dans la liste des racines approuvées d'Apple, l’éditeur d’iOS affirme que cette autorité se sert de certificats signés issus de sa relation avec StartCom et Comodo pour établir la confiance sur les produits Apple.

« À la lumière de ces résultats, nous prenons des mesures pour protéger les utilisateurs dans une prochaine mise à jour de sécurité », a déclaré Apple qui a d’ores et déjà décidé de révoquer les certificats SSL issus par WoSign.

« Pour éviter toute interruption aux titulaires existant de certificats WoSign et pour permettre leur transition vers des racines de confiance, les produits Apple vont accorder une confiance individuelle aux certificats existants émis depuis cette autorité et publiés dans les journaux des serveurs Certificate Transparency après la date du 19/09/2016 ». La confiance sera maintenue jusqu'à l’expiration de la période de validité de ces certificats. Toutefois, Apple se réserve le droit de les révoquer ou de les déclarer comme non fiables.

« Tandis que l'enquête progresse, nous allons prendre des mesures supplémentaires à appliquer aux ancres de confiance de WoSign / StartCom dans les produits Apple qui vont s’avérer nécessaires pour protéger les utilisateurs ». Ces décisions sont appliquées à la fois sur iOS et MacOS. Contrairement à Mozilla, Apple n’a pas donné de limite dans le temps à l’application de cette sanction, l’éditeur d’iOS n’a pas indiqué si elle est permanente ou non, si la situation peut être inversée dans le futur.

Mozilla doit rencontrer les représentants de WoSign et StartCom cette semaine afin de clarifier les évènements récents. La fondation va décider si elle applique la sanction de la révocation des certificats de ces deux autorités pendant un an après cet entretien.

Pendant ce temps, WoSign, qui est l’autorité de certification la plus importante en Chine, a admis publiquement avoir acheté StartCom et recherche activement un moyen de trouver un terrain d’entente avec Mozilla pour éviter le bannissement de ses certificats. Il faut dire que la pression est énorme : d’autres éditeurs de navigateurs comme Google et Microsoft sont susceptibles d’emboîter le pas à Mozilla et Apple, mettant ainsi l’existence même de ces deux autorités en danger.

Source : décision d'Apple (iOS), décision d'Apple (MacOS), annonce de WoSign sur la gestion de StartCom, prise de rendez-vous entre les différentes entités pour éclaircissements

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de TiranusKBX
Expert confirmé https://www.developpez.com
Le 11/07/2017 à 5:14
@divxdede
Les sociétés de certification fonctionnent sur la confiance,
si l'on ne peut plus faire confiance en la qualité de la vérification des données ou la validité des certificats eux même l'on perd confiance en l'entreprise de certification.
Comme sur ce cas WoSign à accumulé des faits portant atteinte à la confiance que l'on pouvait lui porté, il est donc normal de renier la confiance que l'on à envers eux et de les bannir des listes d'autorité de certification.
1  0 
Avatar de grunk
Modérateur https://www.developpez.com
Le 11/07/2017 à 8:40
Ça fait plusieurs semaines que tous les certifcats startcom que j'avais sont refusés sur la plus part des navigateurs.
1  0 
Avatar de pcdwarf
Membre éclairé https://www.developpez.com
Le 26/10/2016 à 0:00
Alors c'est clair qu'on ne peut pas faire confiance à un tiers de confiance qui n'est pas totalement transparent.

il n'empeche, ça va faire du boulot.
En ce qui me concerne, des startssl, j'en ai quelques uns.
0  0 
Avatar de Shalien
Futur Membre du Club https://www.developpez.com
Le 27/10/2016 à 21:56
Je tiens à féliciter les gens qui tiennent des propos tels que : "Bien fait pour leurs gueules.., etc".

Certains des membres de developpez.net utilise startssl, moi le premier, et cette décision me fait perdre toute crédibilité auprès des clients auxquels j'ai recommandé ces certificats.

Donc oui, bien fait pour ma gueule n'est ce pas ? D'avoir comparer les prix des différentes CAs et d'avoir choisis celle qui propose le plus tout en demandant peu.

C'est une décision grave pour pleins de développeurs indépendant qui utilise les certificats gratuit (ou non) de Startssl et cela remet même en question le principe même d'autorité de certification et la confiance que les gens apporteront aux sites et applications utilisant ces certificats.
0  0 
Avatar de BlueScreenJunky
Membre régulier https://www.developpez.com
Le 10/07/2017 à 19:14
"Issus" ? Je suis presque sûr qu'on dit "délivrés" ou "publiés" ;-)
0  0 
Avatar de TiranusKBX
Expert confirmé https://www.developpez.com
Le 10/07/2017 à 20:51
Dans la phrase de provenance le mot est bien choisi car signifie "provenant de"
0  0 
Avatar de divxdede
Membre éclairé https://www.developpez.com
Le 10/07/2017 à 23:55
Qui donne le droit à une société d'émettre des certificats de confiance ?
Car ce qui me surprends c'est qu'il est autorisé pour Mozilla, Google et consort de réfuter un certificat émis ? ça veut donc dire qu'ils peuvent nuire à une société sans avoir à rendre compte à une instance de régulation / contrôles ?

Je n'essais pas spécialement de défendre WoSign, car je ne connais pas vraiment l'affaire mais l'éditeur d'un navigateur ne devrait pas avoir le droit de décider de lui-même si un certificat est valide ou non.
Dans la forme actuelle, cette décision me choque terriblement.
0  0