Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Sécurité : Mozilla incite les autorités de certification à adopter un nouveau standard
De chiffrement, pour protéger les utilisateurs

Le , par Idelways

0PARTAGES

1  0 
La fondation Mozilla veut forcer la main aux autorités de certifications (CAs), chargées de délivrer les certificats de sécurité sur Internet, pour qu'elles adoptent vite un nouveau standard de chiffrement en cours de finalisation.

Ce nouveau standard, baptisé : « Exigences de base, relatives à la délivrance et la gestion des certificats publiques de confiance » est actuellement au stade « Final Draft » auprès du consortium « CA/Browser Forum ».

Il est jugé plus sûr que ceux employés actuellement, notamment grâce au bannissement de l'algorithme de Hachage MD5 de la signature des certificats de sécurité. Cette interdiction devrait empêcher les pirates de reproduire l'exploit rendu public en 2008 ayant permis à des chercheurs de créer de vrais-faux certificats de sécurité au moyen d'attaques par collisions MD5.

La fondation Mozilla, par la voix de sa consultante en sécurité Kathleen Wilson accorde un délai de 45 jours (jusqu'au 25 mai) durant lequel les autorités de certification sont priées de manifester leurs éventuelles désapprobations avant la finalisation du document.

Des mises à jour prochaines aux logiciels de Mozilla (dont le navigateur Firefox) les empêcheront de résoudre correctement les certificats signés en MD5 par les autorités de certification intermédiaire et finales à partir du 30 juin prochain.

Récemment, une attaque revendiquée par un hacker iranien solitaire a permis le vol de certificats de sécurité et la création de faux certificats ayant été propulsées vers six domaines. Un patch de Firefox met à l'abri les utilisateurs du navigateur de la fondation.

Plus de détails sur ce standard sur cette adresse (PDF, 380 KO)

Source : Groupe de la politique de sécurité de Mozillla

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Niaatan
Nouveau membre du Club https://www.developpez.com
Le 18/04/2011 à 17:26
@Neko :

Une chose que Mozilla ne nous impose pas c'est l'utilisation de Firefox. Après, s'ils veulent choisir l'orientation qu'ils donnent à leur soft, c'est pas moi qui vais leur dire quoi que ce soit, sauf que je verrai au moment de sa sortie s'il me convient toujours. (Note que pour le moment je suis convaincu par Fx 4).

On peut également se souvenir que Google avait fait le même coup en retirant le support du H.264 du navigateur maison...
3  0 
Avatar de Neko
Membre chevronné https://www.developpez.com
Le 18/04/2011 à 16:12
Essayons de résumer: Mozilla force les autorités de certification à adopter un nouveau standard pas fini. Et dans le cas ou ça ne serait pas accepté, ils vont quand même arrêter le support du standard actuel.
Ils se prennent pour les maitres du web ou un truc du genre? Qu'ils proposent est une chose, mais ils n'ont pas à forcer quoi que ce soit ou qui que ce soit.
2  1 
Avatar de gagaches
Membre confirmé https://www.developpez.com
Le 18/04/2011 à 17:18
Non, je corrige :

Les CA : "oui, on va prendre notre temps, touça, *baille*, faut valider quoi déjà ?"
Mozilla : "mais grouillez-vous, y'a le feu là ... on voudrait un meilleur extincteur et VITE !!!!"
1  0 
Avatar de Neko
Membre chevronné https://www.developpez.com
Le 18/04/2011 à 17:50
Citation Envoyé par Niaatan Voir le message
@Neko :
Une chose que Mozilla ne nous impose pas c'est l'utilisation de Firefox. Après, s'ils veulent choisir l'orientation qu'ils donnent à leur soft, ...
Je pense pas que les "autorités de certifications" fassent partie de Firefox...
0  0 
Avatar de Flaburgan
Modérateur https://www.developpez.com
Le 20/04/2011 à 9:37
C'est comme la publication d'un PoC mais en moins dangereux, quand personne ne bouge et que nous on considère ça critique, on est obligé parfois de forcer un peu la main.
0  0