Révocation des certificats WoSign / StartCom : Google emboîte le pas à Mozilla et Apple
Et décide de bloquer ces certificats à partir de Chrome 56

Le , par Stéphane le calme

262PARTAGES

4  0 
Après Apple, puis Mozilla, sans surprise c’est désormais Google qui a décidé de s’opposer aux certificats émis par les autorités de certification WoSign / StartCom. Dans un billet de blog, le numéro un de la recherche a indiqué qu’à compter de Chrome 56, les certificats délivrés par ces autorités datés d’après le 21 octobre 2016 seront révoqués. Concernant ceux qui ont été émis avant, ils seront validés, pour un moment et uniquement s’ils sont conformes à la politique de transparence de certificats de Chrome ou alors sont délivrés sur un ensemble restreint de domaines connus comme étant des clients de WoSign / StartCom.

« En raison d'un certain nombre de contraintes techniques ainsi que de préoccupations, Google Chrome ne peut pas faire confiance à tous les certificats pré-existants tout en garantissant que nos utilisateurs sont suffisamment protégés contre d'autres erreurs. Suite à ces modifications, les clients de WoSign et de StartCom pourraient constater que leurs certificats ne fonctionnent plus dans Chrome 56 », a prévenu Google.

Et de continuer en disant que dans les versions à venir de Chrome, ces exceptions seront réduites pour être finalement supprimées, ce qui caractérise bel et bien la méfiance vis-à-vis de ces autorités. « Cette approche par étapes sert uniquement à s'assurer que les sites ont la possibilité de faire la transition vers d'autres autorités de certification encore fiables dans Google Chrome, ce qui minimise les interruptions pour les utilisateurs de ces sites. Les sites qui se trouvent sur cette liste blanche pourront demander un retrait anticipé une fois qu'ils auront effectué la transition vers de nouveaux certificats. Toute tentative de WoSign ou StartCom de contourner ces contrôles entraînera un retrait immédiat et complet de la confiance », a martelé Google.

Comme chez Apple, Google n’a pas donné de date limite à cette sanction et encore moins si cette situation sera permanente ou pourra être inversée dans le futur.

Pour rappel, les ingénieurs de Mozilla ont enquêté sur une liste d’incidents liés à WoSign et ont conclu qu’il était nécessaire de bannir les certificats délivrés par cette autorité ainsi que StartCom, qui a été rachetée par WoSign, pour des pratiques trompeuses. Une réunion a eu lieu avec les représentants des parties intéressés afin que WoSign puisse se défendre, réunion à l’issue de laquelle Mozilla n’a pas du tout été satisfait. « Les niveaux de tromperie qu’ont affiché des représentants de la société combinée [WoSign + StartCom] a conduit à la décision de Mozilla de se méfier des certificats futurs liés aux certificats racines de WoSign et StartCom », a indiqué la fondation dans un billet. Dans la foulée, Mozilla a déclaré qu'il n’allait plus accepter les audits de sécurité effectués par Ernst & Young Hong Kong, le cabinet de sécurité qui a vérifié les pratiques commerciales de WoSign.

Source : blog Chrome

Voir aussi :

le forum sécurité web ; la rubrique développement web ; cours et tutoriels développement web ; FAQ développement web

SHA-1 : Microsoft suit l'exemple de Mozilla et opte pour une fin de support en juin 2016, au lieu de janvier 2017 sur son navigateur

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Stéphane le calme
Chroniqueur Actualités https://www.developpez.com
Le 10/07/2017 à 17:18
Google va révoquer les certificats issus par WoSign / StartCom dès Chrome 61
et suggère à ceux qui en disposent de se tourner vers d'autres autorités

Tout a commencé l’année dernière, lorsque les ingénieurs de Mozilla ont décidé d’enquêter sur une liste d'incidents potentiels liés à l’autorité de certification WoSign. Le premier incident de cette liste remonte à la période allant du 16 janvier au 5 mars 2015, période durant laquelle WoSign a émis 1132 certificats SHA-1 dont la validité était étendue au-delà du 1er janvier 2017. Pourtant, les vieux certificats SHA-1 ayant été jugés peu fiables, ont été mis au rebut par l’ensemble des éditeurs de navigateurs. Mozilla avait d’ailleurs été clair dessus : « à compter du 16 janvier 2015, les autorités de certification NE DEVRONT PAS délivrer des certificats utilisant l’algorithme SHA-1 avec une date d’expiration allant au-delà du 1er janvier 2017. »

Les ingénieurs ont expliqué que certains d’entre les incidents semblent ne pas avoir été provoqués par WoSign. Et certains de ceux pour lesquels WoSign a reconnu être coupable sont très graves, à l'instar des noms de domaine arbitraires non validés dans les certificats. « Les plus graves du point de vue de la confiance sont les incidents que WoSign a niés, mais dont une preuve de l'allégation existe. L'un de ces incidents était la suggestion (problème S) que WoSign a intentionnellement antidaté des certificats pour éviter que ses émissions de SHA-1 ne soient bloquées par les navigateurs. »

Mozilla a également pointé du doigt l’autorité de certification israélienne StartCom, assurant que WoSign l’avait rachetée et s’en servait pour perpétrer certaines actions que l’éditeur a jugées illicites. WoSign avait d’abord réfuté cette affirmation selon laquelle il aurait racheté cette autorité. Cependant, face aux preuves, WoSign a dû l’admettre plus tard.

Compte tenu de tous ces problèmes, Mozilla a perdu confiance dans la capacité de WoSign / StartCom à remplir fidèlement et avec compétence les fonctions d'une autorité de certification. « Par conséquent, nous proposons que, à compter d'une date à déterminer dans un avenir proche, les produits Mozilla ne fassent plus confiance aux certificats nouvellement émis par l'une de ces deux autorités de certification. »

Après une discussion avec des représentants des autorités, qui ont tenté de trouver un terrain d’entente, Mozilla a décidé de bannir les certificats SSL délivrés par les autorités de certification WoSign / StartCom.

Mozilla n’a proposé que de retirer sa confiance aux certificats nouvellement émis afin de réduire l’impact sur les internautes étant donné la notoriété de ces deux autorités de certification. Pour déterminer les certificats « nouvellement émis », les ingénieurs ont proposé d’examiner la date « notBefore » dans les certificats. « Il est vrai que cette date est choisie par l’autorité de certification et donc par WoSign / StartCom qui pourraient revenir à des dates antérieures pour contourner cette mesure. Et il y a, comme nous l’avons expliqué, une preuve qu’ils l’ont fait par le passé. Cependant, plusieurs paires d’yeux sont rivées sur le web PKI et si un tel rétrodatage était découvert (indépendamment du moyen), Mozilla révoquerait immédiatement et de façon permanente la confiance accordée aux racines WoSign et StartCom. »

Les ingénieurs ont indiqué que cette mesure devra être appliquée au moins durant un an, période après laquelle WoSign / StartCom pourra être admis à nouveau dans les listes approuvées de Mozilla sous réserve de certaines conditions.


Cette situation n’a pas manqué de provoquer les réactions d’autres acteurs du secteur technologique comme Apple qui a décidé de bannir à son tour les certificats émis par ces deux autorités. Google a emboîté le pas, assurant que tous les certificats délivrés par ces autorités datés d’après le 21 octobre 2016 seront révoqués.

Concernant ceux qui ont été émis avant, ils seront validés, pour un moment et uniquement s’ils sont conformes à la politique de transparence de certificats de Chrome ou alors sont délivrés sur un ensemble restreint de domaines connus comme étant des clients de WoSign / StartCom.

« En raison d'un certain nombre de contraintes techniques ainsi que de préoccupations, Google Chrome ne peut pas faire confiance à tous les certificats préexistants tout en garantissant que nos utilisateurs sont suffisamment protégés contre d'autres erreurs. Suite à ces modifications, les clients de WoSign et de StartCom pourraient constater que leurs certificats ne fonctionnent plus dans Chrome 56 », a prévenu Google.

Dans un billet de blog, l'ingénieur en sécurité Devon O'Brien, qui travaille au sein de l’équipe responsable du développement de Chrome, est venu rappeler que Chrome est dans le processus de retirer sa confiance des certificats émis par ces autorités : « Nous avons commencé ce processus dans Chrome 56 en autorisant uniquement les certificats délivrés avant le 21 octobre 2016 et avons ensuite restreint la confiance dans un ensemble de noms d'hôtes sur la liste blanche basée sur Alexa Top 1M. Nous allons réduire la taille de la liste blanche au cours des prochaines versions de Chrome. »

« À partir de Chrome 61, la liste blanche sera supprimée, ce qui va se traduire par un retirement total de la confiance envers les certificats racines WoSign et StartCom existants et tous les certificats qu'ils ont émis », a-t-il prévenu.

« Les sites utilisant encore les certificats issus de StartCom ou WoSign devraient envisager de remplacer ces certificats de manière urgente afin de minimiser les perturbations pour les utilisateurs de Chrome », a-t-il suggéré.

Source : billet Devon O'Brien

Et vous ?

Qu'en pensez-vous ?
Avatar de BlueScreenJunky
Membre régulier https://www.developpez.com
Le 10/07/2017 à 19:14
"Issus" ? Je suis presque sûr qu'on dit "délivrés" ou "publiés" ;-)
Avatar de TiranusKBX
Expert confirmé https://www.developpez.com
Le 10/07/2017 à 20:51
Dans la phrase de provenance le mot est bien choisi car signifie "provenant de"
Avatar de divxdede
Membre éclairé https://www.developpez.com
Le 10/07/2017 à 23:55
Qui donne le droit à une société d'émettre des certificats de confiance ?
Car ce qui me surprends c'est qu'il est autorisé pour Mozilla, Google et consort de réfuter un certificat émis ? ça veut donc dire qu'ils peuvent nuire à une société sans avoir à rendre compte à une instance de régulation / contrôles ?

Je n'essais pas spécialement de défendre WoSign, car je ne connais pas vraiment l'affaire mais l'éditeur d'un navigateur ne devrait pas avoir le droit de décider de lui-même si un certificat est valide ou non.
Dans la forme actuelle, cette décision me choque terriblement.
Avatar de TiranusKBX
Expert confirmé https://www.developpez.com
Le 11/07/2017 à 5:14
@divxdede
Les sociétés de certification fonctionnent sur la confiance,
si l'on ne peut plus faire confiance en la qualité de la vérification des données ou la validité des certificats eux même l'on perd confiance en l'entreprise de certification.
Comme sur ce cas WoSign à accumulé des faits portant atteinte à la confiance que l'on pouvait lui porté, il est donc normal de renier la confiance que l'on à envers eux et de les bannir des listes d'autorité de certification.
Avatar de grunk
Modérateur https://www.developpez.com
Le 11/07/2017 à 8:40
Ça fait plusieurs semaines que tous les certifcats startcom que j'avais sont refusés sur la plus part des navigateurs.
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web