Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Révocation des certificats WoSign / StartCom : Google emboîte le pas à Mozilla et Apple
Et décide de bloquer ces certificats à partir de Chrome 56

Le , par Stéphane le calme

329PARTAGES

4  0 
Après Apple, puis Mozilla, sans surprise c’est désormais Google qui a décidé de s’opposer aux certificats émis par les autorités de certification WoSign / StartCom. Dans un billet de blog, le numéro un de la recherche a indiqué qu’à compter de Chrome 56, les certificats délivrés par ces autorités datés d’après le 21 octobre 2016 seront révoqués. Concernant ceux qui ont été émis avant, ils seront validés, pour un moment et uniquement s’ils sont conformes à la politique de transparence de certificats de Chrome ou alors sont délivrés sur un ensemble restreint de domaines connus comme étant des clients de WoSign / StartCom.

« En raison d'un certain nombre de contraintes techniques ainsi que de préoccupations, Google Chrome ne peut pas faire confiance à tous les certificats pré-existants tout en garantissant que nos utilisateurs sont suffisamment protégés contre d'autres erreurs. Suite à ces modifications, les clients de WoSign et de StartCom pourraient constater que leurs certificats ne fonctionnent plus dans Chrome 56 », a prévenu Google.

Et de continuer en disant que dans les versions à venir de Chrome, ces exceptions seront réduites pour être finalement supprimées, ce qui caractérise bel et bien la méfiance vis-à-vis de ces autorités. « Cette approche par étapes sert uniquement à s'assurer que les sites ont la possibilité de faire la transition vers d'autres autorités de certification encore fiables dans Google Chrome, ce qui minimise les interruptions pour les utilisateurs de ces sites. Les sites qui se trouvent sur cette liste blanche pourront demander un retrait anticipé une fois qu'ils auront effectué la transition vers de nouveaux certificats. Toute tentative de WoSign ou StartCom de contourner ces contrôles entraînera un retrait immédiat et complet de la confiance », a martelé Google.

Comme chez Apple, Google n’a pas donné de date limite à cette sanction et encore moins si cette situation sera permanente ou pourra être inversée dans le futur.

Pour rappel, les ingénieurs de Mozilla ont enquêté sur une liste d’incidents liés à WoSign et ont conclu qu’il était nécessaire de bannir les certificats délivrés par cette autorité ainsi que StartCom, qui a été rachetée par WoSign, pour des pratiques trompeuses. Une réunion a eu lieu avec les représentants des parties intéressés afin que WoSign puisse se défendre, réunion à l’issue de laquelle Mozilla n’a pas du tout été satisfait. « Les niveaux de tromperie qu’ont affiché des représentants de la société combinée [WoSign + StartCom] a conduit à la décision de Mozilla de se méfier des certificats futurs liés aux certificats racines de WoSign et StartCom », a indiqué la fondation dans un billet. Dans la foulée, Mozilla a déclaré qu'il n’allait plus accepter les audits de sécurité effectués par Ernst & Young Hong Kong, le cabinet de sécurité qui a vérifié les pratiques commerciales de WoSign.

Source : blog Chrome

Voir aussi :

le forum sécurité web ; la rubrique développement web ; cours et tutoriels développement web ; FAQ développement web

SHA-1 : Microsoft suit l'exemple de Mozilla et opte pour une fin de support en juin 2016, au lieu de janvier 2017 sur son navigateur

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de TiranusKBX
Expert confirmé https://www.developpez.com
Le 11/07/2017 à 5:14
@divxdede
Les sociétés de certification fonctionnent sur la confiance,
si l'on ne peut plus faire confiance en la qualité de la vérification des données ou la validité des certificats eux même l'on perd confiance en l'entreprise de certification.
Comme sur ce cas WoSign à accumulé des faits portant atteinte à la confiance que l'on pouvait lui porté, il est donc normal de renier la confiance que l'on à envers eux et de les bannir des listes d'autorité de certification.
1  0 
Avatar de grunk
Modérateur https://www.developpez.com
Le 11/07/2017 à 8:40
Ça fait plusieurs semaines que tous les certifcats startcom que j'avais sont refusés sur la plus part des navigateurs.
1  0 
Avatar de BlueScreenJunky
Membre régulier https://www.developpez.com
Le 10/07/2017 à 19:14
"Issus" ? Je suis presque sûr qu'on dit "délivrés" ou "publiés" ;-)
0  0 
Avatar de TiranusKBX
Expert confirmé https://www.developpez.com
Le 10/07/2017 à 20:51
Dans la phrase de provenance le mot est bien choisi car signifie "provenant de"
0  0 
Avatar de divxdede
Membre éclairé https://www.developpez.com
Le 10/07/2017 à 23:55
Qui donne le droit à une société d'émettre des certificats de confiance ?
Car ce qui me surprends c'est qu'il est autorisé pour Mozilla, Google et consort de réfuter un certificat émis ? ça veut donc dire qu'ils peuvent nuire à une société sans avoir à rendre compte à une instance de régulation / contrôles ?

Je n'essais pas spécialement de défendre WoSign, car je ne connais pas vraiment l'affaire mais l'éditeur d'un navigateur ne devrait pas avoir le droit de décider de lui-même si un certificat est valide ou non.
Dans la forme actuelle, cette décision me choque terriblement.
0  0 

 
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web