Ce nouveau standard, baptisé : « Exigences de base, relatives à la délivrance et la gestion des certificats publiques de confiance » est actuellement au stade « Final Draft » auprès du consortium « CA/Browser Forum ».
Il est jugé plus sûr que ceux employés actuellement, notamment grâce au bannissement de l'algorithme de Hachage MD5 de la signature des certificats de sécurité. Cette interdiction devrait empêcher les pirates de reproduire l'exploit rendu public en 2008 ayant permis à des chercheurs de créer de vrais-faux certificats de sécurité au moyen d'attaques par collisions MD5.
La fondation Mozilla, par la voix de sa consultante en sécurité Kathleen Wilson accorde un délai de 45 jours (jusqu'au 25 mai) durant lequel les autorités de certification sont priées de manifester leurs éventuelles désapprobations avant la finalisation du document.
Des mises à jour prochaines aux logiciels de Mozilla (dont le navigateur Firefox) les empêcheront de résoudre correctement les certificats signés en MD5 par les autorités de certification intermédiaire et finales à partir du 30 juin prochain.
Récemment, une attaque revendiquée par un hacker iranien solitaire a permis le vol de certificats de sécurité et la création de faux certificats ayant été propulsées vers six domaines. Un patch de Firefox met à l'abri les utilisateurs du navigateur de la fondation.
Plus de détails sur ce standard sur cette adresse (PDF, 380 KO)Source : Groupe de la politique de sécurité de Mozillla
Envoyé par Niaatan
