Google, Microsoft et Mozilla bannissent une autre autorité de certification,
Digicert a émis 22 certificats faibles et incomplets

Le , par Idelways, Expert éminent sénior
Les géants de l'Internet, décontenancés par le fiasco DigiNotar, semblent avoir instauré un régime de tolérance zéro.

Microsoft, Mozilla et Google viennent de révoquer toute confiance aux certificats de sécurité émis par l'autorité intermédiaire Malisienne Digicert. Et pour cause, la diffusion de 22 certificats ayant une clé privée faible (à 512-bit), entre autres manquements aux standards de la sécurité.

Digicert, certifié par l'autorité root Entrust, a omis d'inclure les informations de révocation, l'Extended (ou Enhanced) Key Usage (EKU) et les désignations.

D'après un porte-parole de Microsoft, « il n'y a pas de preuve que des certificats ont été frauduleusement émis, mais ces clés faibles ont permis de compromettre quelques certificats [...] l'autorité de certification intermédiaire [Digicert] a clairement démontré de médiocres pratiques de sécurité, et Microsoft a l'intention de révoquer sa confiance dans ces certificats intermédiaires », peut on lire sur un billet de blog.

De son côté, Entrust révoquera tous les certificats de Digicert d'ici jeudi prochain, laissant un délai relativement court pour que les clients de son intermédiaire changent de fournisseur. La liste des certificats a été communiquée aux éditeurs de navigateurs qui entreprennent de les blacklister.

Mozilla ne fait pas non plus dans la demi-mesure, et bannira tous les certificats dès Firefox 8 prévu pour le 17 novembre, et la version 3.6.24 du panda roux, qui sortira la semaine prochaine.

Des démarches similaires sont en cours par l'équipe de Chromium.

Les 22 certificats incriminés appartiennent à des « sites Web et des systèmes internes du gouvernement malaisien », ce qui laisse planer le doute sur une éventuelle main criminelle. Sur son site Digicert affirme être certifié par le gourvnement malaisien et ses « solutions de confiance sont légalement reconnues par la loi malaisienne ».

Source : Microsoft, Mozilla, Google, Digicert


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de 6-MarViN 6-MarViN - Membre confirmé https://www.developpez.com
le 04/11/2011 à 17:11
Citation Envoyé par Idelways  Voir le message
Sur son site Digicert affirme être certifié par le gouvernement malaisien et ses « solutions de confiance sont légalement reconnues par la loi malaisienne ».

Ah c'est sur la malaisie, ça c'est un pays de confiance. Pour ce qui est des composants electroniques, je veux bien, mais pour les solutions de sécurités... pas sûr.

Comme quoi le fiasco Diginotar a eu la conséquence de sensibiliser les industries du web à se méfier des certificats utilisés, me s'ils s'avèrent légitimes à première vue. C'est une bonne chose.
Offres d'emploi IT
Architecte technique des systèmes d'information H/F
Safran - Ile de France - Évry (91090)
Consultant sap finance/controlling H/F
Safran - Ile de France - Vélizy-Villacoublay (78140)
Ingénieur analyste programmeur (H/F)
Safran - Auvergne - Montluçon (03100)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil