Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Mozilla a décidé de révoquer les certificats issus par les autorités WoSign et StartCom pendant un an
Malgré les mesures prises par Qihoo 360

Le , par Stéphane le calme

27PARTAGES

11  0 
Mise à jour du 25 / 10 / 2016 : Mozilla a décidé de révoquer les certificats issus par les autorités WoSign et StartCom pendant un an

Conformément à l’avis de ses ingénieurs, Mozilla a décidé de bannir les certificats SSL délivrés par les autorités de certification WoSign / StartCom malgré les efforts de Qihoo 360, le fournisseur chinois de solution antivirus, pour éviter ce scénario. Notons que Qihoo a une implication financière directe sur WoSign étant donné qu’il est l’actionnaire majoritaire de cette autorité de certification.

En effet, à l’issue d’une réunion qui a eu lieu à Londres il y a plus de deux semaines, Qihoo a indiqué que WoSign allait renvoyer son PDG et a également proposé une nouvelle direction pour la gestion de WoSign et StartCom. Des mesures qui n’ont sans doute pas suffi à Mozilla qui vient de voter pour une révocation des certificats issus des deux autorités. « Les niveaux de tromperie qu’ont affiché des représentants de la société combinée [WoSign + StartCom] a conduit à la décision de Mozilla de se méfier des certificats futurs liés aux certificats racines de WoSign et StartCom », a indiqué la fondation dans un billet.

Par ricochet, Mozilla a déclaré qu'il n’allait plus accepter les audits de sécurité effectués par Ernst & Young Hong Kong, le cabinet de sécurité qui a vérifié les pratiques commerciales de WoSign. Apple a déjà banni les certificats issus de ces deux autorités d’iOS et Mac OS X. Microsoft et Google ne se sont pas encore prononcés pour le moment.

Source : blog Mozilla

Mozilla envisage de bannir les nouveaux certificats SSL émis par l’autorité de certification WoSign ainsi que ceux émis par l’autorité de certification StartCom, qui semble avoir été secrètement achetée l’année dernière, de ses listes approuvées pendant un an.

Les ingénieurs de Mozilla expliquent que depuis quelques semaines, Mozilla a entrepris d’enquêter sur une liste d'incidents potentiels liés à l’autorité de certification WoSign. Le premier incident de cette liste remonte à la période allant du 16 janvier au 5 mars 2015, période durant laquelle WoSign a émis 1132 certificats SHA-1 dont la validité était étendue au-delà du 1er janvier 2017. Pourtant, les vieux certificats SHA-1 ayant été jugés peu fiables, ont été mis au rebut par l’ensemble des éditeurs de navigateurs. Mozilla avait d’ailleurs été clair dessus : « à compter du 16 janvier 2015, les autorités de certification NE DEVRONT PAS délivrer des certificats utilisant l’algorithme SHA-1 avec une date d’expiration allant au-delà du 1er janvier 2017 ».

À ce propos, les auditeurs de WoSign ont rapporté que « nous comprenons que WoSign a établi des procédures et des contrôles mis en place pour veiller à ce que les certificats SSL soient révoqués avant ou d’ici le 31 décembre 2016 ».

Les ingénieurs ont expliqué que certains d’entre les incidents semblent ne pas avoir été provoqués par WoSign. Et certains de ceux pour lesquels WoSign a reconnu être coupable sont très graves, à l'instar des noms de domaine arbitraires non validés dans les certificats. « Le plus grave du point de vue de la confiance sont les incidents que WoSign a nié mais dont une preuve de l'allégation existe. L'un de ces incidents était la suggestion (problème S) que WoSign a intentionnellement antidaté des certificats pour éviter que ses émissions de SHA-1 ne soient bloquées par les navigateurs ».

De plus, WoSign semble réfuter l’affirmation selon laquelle il a racheté l’autorité israélienne de certification StartCom. Mais Mozilla indique que « comme documenté dans l'enquête de Mozilla et comme confirmé par un avocat de langue hébraïque qui a examiné les documents pour nous, depuis le 1er Novembre 2015, WoSign a pris à 100 % la propriété de l’autorité de certification “StartCom” basée en Israël par le biais de sociétés intermédiaires au Royaume-Uni et à Hong Kong. Le problème R dans la liste originale des mises au point couvre cela. Bien qu’acheter une autre autorité de certification ne soit nullement illégal, les exigences du programme de Mozilla stipulent qu'un changement de propriété d’autorité de certification doit être divulgué. Dans ce cas, cela n'a pas été fait - de plus, ce changement de propriété a été immédiatement réfuté quelques mois après ».

Et de continuer en disant que « plus récemment, même après que la preuve du contrôle total est devenue publique, dans un communiqué de presse WoSign a souligné que son intérêt pour StartCom se résumait à un « investissement en capital », et a précisé que les deux entreprises continuent d'être séparées, même aujourd'hui. Ils affirment que "le système d'origine ... de StartCom reste inchangé" ». Pourtant, Mozilla affirme qu’il y a des preuves techniques qui attestent qu’environ un mois et demi après le rachat de StartCom, l’autorité a basculé sur les infrastructures de WoSign. Ces éléments de preuve pris ensemble, Mozilla pense que les certificats de StartCom sont désormais délivrés en s’appuyant soit sur l’infrastructure de WoSign, soit sur un clone de cette infrastructure.

La fondation note également que les pratiques de WoSign sont également observées chez StartCom, ce qui lui permet de conclure que, étant donné que la propriété, l'infrastructure et le contrôle sont suffisamment commun entre les deux entreprises, il serait donc raisonnable que toute action intentée par Mozilla à l’endroit de WoSign soit également prise contre StartCom et vice versa.

Compte tenu de tous ces problèmes, Mozilla a perdu confiance dans la capacité de WoSign / StartCom à remplir fidèlement et avec compétence les fonctions d'une autorité de certification. « Par conséquent, nous proposons que, à compter d'une date à déterminer dans un avenir proche, les produits Mozilla ne fassent plus confiance aux certificats nouvellement émis par l'une de ces deux autorités de certification ».

Mozilla n’a proposé que de retirer sa confiance aux certificats nouvellement émis afin de réduire l’impact sur les internautes étant donné la notoriété de ces deux autorités de certification. Pour déterminer les certificats « nouvellement émis », les ingénieurs ont proposé d’examiner la date “notBefore” dans les certificats. « Il est vrai que cette date est choisie par l’autorité de certification et donc par WoSign / StartCom qui pourraient revenir à des dates antérieures pour contourner cette mesure. Et il y a, comme nous l’avons expliqué, une preuve qu’ils l’ont fait par le passé. Cependant, plusieurs paires d’yeux sont rivées sur le web PKI et si un tel rétro-datage était découvert (indépendamment du moyen), Mozilla révoquerait immédiatement et de façon permanente la confiance accordée aux racines WoSign et StartCom ».

Les ingénieurs indiquent que cette mesure devra être appliquée au moins durant un an, période après laquelle WoSign / StartCom pourront être admis à nouveau dans les listes approuvées de Mozilla sous réserve de certaines conditions.

Source : explications de Mozilla (Google Docs), liste des infractions WoSign

Voir aussi :

le forum sécurité web ; la rubrique développement web ; cours et tutoriels développement web ; FAQ développement web

SHA-1 : Microsoft suit l'exemple de Mozilla et opte pour une fin de support en juin 2016, au lieu de janvier 2017 sur son navigateur

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Vulcania
Membre éclairé https://www.developpez.com
Le 28/09/2016 à 9:10
Bien fait pour leur gueule... Qu'est-ce qu'ils s'imaginaient ? Fournir un service basé sur la confiance en mentant ouvertement et à tout va ?
4  0 
Avatar de CaptainDangeax
Membre éclairé https://www.developpez.com
Le 28/09/2016 à 11:12
Mozilla a raison de trancher. Une certification implique une confiance, qui ne peut être accordé à quelqu'un qui rachète sans le dire, qui antidate, et je ne sais quelle autre magouille non encore découverte. Pas de théorie du complot fumeuse genre "Wosign" est téléguidée par le pouvoir chinois, qui, en ayant accès aux clés privées SSL, peut décoder facilement le HTTPS... J'espère que les autres éditeurs, Google et MS en tête, marcheront dans les pas de Mozilla pour cette affaire.
2  0 
Avatar de jopopmk
Membre expert https://www.developpez.com
Le 28/09/2016 à 16:05
Je serais conspirationniste je me dirais que cette entreprise à un agenda qui dépasse la fonction de CA

Sinon comme les autres remarques : il est inadmissible qu'un partenaire censé être de confiance ait autant de lacune.
2  0 
Avatar de TiranusKBX
Expert confirmé https://www.developpez.com
Le 11/07/2017 à 5:14
@divxdede
Les sociétés de certification fonctionnent sur la confiance,
si l'on ne peut plus faire confiance en la qualité de la vérification des données ou la validité des certificats eux même l'on perd confiance en l'entreprise de certification.
Comme sur ce cas WoSign à accumulé des faits portant atteinte à la confiance que l'on pouvait lui porté, il est donc normal de renier la confiance que l'on à envers eux et de les bannir des listes d'autorité de certification.
1  0 
Avatar de grunk
Modérateur https://www.developpez.com
Le 11/07/2017 à 8:40
Ça fait plusieurs semaines que tous les certifcats startcom que j'avais sont refusés sur la plus part des navigateurs.
1  0 
Avatar de TiranusKBX
Expert confirmé https://www.developpez.com
Le 28/09/2016 à 13:39
Voila ce que ça donne une société qui ne pense qu'à faire du fric à court terme
0  0 
Avatar de pcdwarf
Membre éclairé https://www.developpez.com
Le 26/10/2016 à 0:00
Alors c'est clair qu'on ne peut pas faire confiance à un tiers de confiance qui n'est pas totalement transparent.

il n'empeche, ça va faire du boulot.
En ce qui me concerne, des startssl, j'en ai quelques uns.
0  0 
Avatar de Shalien
Futur Membre du Club https://www.developpez.com
Le 27/10/2016 à 21:56
Je tiens à féliciter les gens qui tiennent des propos tels que : "Bien fait pour leurs gueules.., etc".

Certains des membres de developpez.net utilise startssl, moi le premier, et cette décision me fait perdre toute crédibilité auprès des clients auxquels j'ai recommandé ces certificats.

Donc oui, bien fait pour ma gueule n'est ce pas ? D'avoir comparer les prix des différentes CAs et d'avoir choisis celle qui propose le plus tout en demandant peu.

C'est une décision grave pour pleins de développeurs indépendant qui utilise les certificats gratuit (ou non) de Startssl et cela remet même en question le principe même d'autorité de certification et la confiance que les gens apporteront aux sites et applications utilisant ces certificats.
0  0 
Avatar de BlueScreenJunky
Membre régulier https://www.developpez.com
Le 10/07/2017 à 19:14
"Issus" ? Je suis presque sûr qu'on dit "délivrés" ou "publiés" ;-)
0  0 
Avatar de TiranusKBX
Expert confirmé https://www.developpez.com
Le 10/07/2017 à 20:51
Dans la phrase de provenance le mot est bien choisi car signifie "provenant de"
0  0