Des chercheurs de Google revoient les fondements de SSL
Pour rendre le processus de certification plus transparent et plus sûr
Le 2011-11-30 19:02:30, par Idelways, Expert éminent sénior
Des chercheurs de Google veulent remanier en profondeur les fondations des infrastructures de certifications SSL. En proposant une meilleure transparence, ils espèrent rendre le processus plus sûr et éviter de réitérer la déroute DigoNotar.
Ben Laurie et Adam Langley proposent de combler une lacune fondamentale. Celle qui permet à plus de 600 autorités de délivrer des certificats valides et légaux, sans la permission du propriétaire du nom de domaine dont il est question (dans le cas où leurs systèmes sont par exemple piratés).
Ils proposent dans ce but que tous les certificats soient publiés dans un log (fichier journal) public « auditable ». Les serveurs présenteront aux clients, en plus du certificat lui-même, une preuve (délivrée par l'autorité de certification) qu'ils sont enregistrés dans le log.
Avant d'accepter la première connexion, les clients (navigateurs, clients de messagerie...) vont valider la conformité du certificat et de la preuve présentée par le serveur auprès du log public. Si un serveur ne présente pas une preuve, la connexion devra être tout simplement refusée.
La preuve d'audit correspondra à l’empreinte Merkle du certificat (une signature numérique très résistante).
Ainsi, l'intégrité de l'organisme qui maintient le log public n'a pas d'importance, expliquent les deux chercheurs : « Si l'organisme tente de tromper quelqu'un en acceptant un certificat qui ne soit pas enregistré, ils devront produire [NDR : en complicité avec l'autorité de certification] une preuve non vérifiable avec la version publiquement visible sur le log. » Auquel cas, des contradictions seront visibles et des mesures seront vite prises.
Le système devrait être rétrocompatible avec les navigateurs, mais Laurie et Langley n'expliquent pas comment. Ils reconnaissent néanmoins que la maintenance, l'hébergement et la surveillance d'un tel log seraient difficiles et poseraient des « problèmes majeurs » de scalability et de disponibilité.
Mais « étant donné que les logs seront à la fois signés et publics, il n'y aura pas de barrière insurmontable qui empêchera d'autres services à agréger et re-publier les logs », améliorant ainsi leur disponibilité.
Les chercheurs insistent sur le fait que ce travail n'est qu'une ébauche sujette à d'importantes modifications.
Sources :
Et vous ?
Ben Laurie et Adam Langley proposent de combler une lacune fondamentale. Celle qui permet à plus de 600 autorités de délivrer des certificats valides et légaux, sans la permission du propriétaire du nom de domaine dont il est question (dans le cas où leurs systèmes sont par exemple piratés).
Ils proposent dans ce but que tous les certificats soient publiés dans un log (fichier journal) public « auditable ». Les serveurs présenteront aux clients, en plus du certificat lui-même, une preuve (délivrée par l'autorité de certification) qu'ils sont enregistrés dans le log.
Avant d'accepter la première connexion, les clients (navigateurs, clients de messagerie...) vont valider la conformité du certificat et de la preuve présentée par le serveur auprès du log public. Si un serveur ne présente pas une preuve, la connexion devra être tout simplement refusée.
La preuve d'audit correspondra à l’empreinte Merkle du certificat (une signature numérique très résistante).
Ainsi, l'intégrité de l'organisme qui maintient le log public n'a pas d'importance, expliquent les deux chercheurs : « Si l'organisme tente de tromper quelqu'un en acceptant un certificat qui ne soit pas enregistré, ils devront produire [NDR : en complicité avec l'autorité de certification] une preuve non vérifiable avec la version publiquement visible sur le log. » Auquel cas, des contradictions seront visibles et des mesures seront vite prises.
Le système devrait être rétrocompatible avec les navigateurs, mais Laurie et Langley n'expliquent pas comment. Ils reconnaissent néanmoins que la maintenance, l'hébergement et la surveillance d'un tel log seraient difficiles et poseraient des « problèmes majeurs » de scalability et de disponibilité.
Mais « étant donné que les logs seront à la fois signés et publics, il n'y aura pas de barrière insurmontable qui empêchera d'autres services à agréger et re-publier les logs », améliorant ainsi leur disponibilité.
Les chercheurs insistent sur le fait que ce travail n'est qu'une ébauche sujette à d'importantes modifications.
Sources :
Et vous ?
-
GCSX_Membre confirméSi les logs peuvent être reproduits sans risques, pourquoi ne pas placer la preuve en question sur le serveur auquel le certificat est délivré tout simplement?d'autres services à agréger et re-publier les logsle 01/12/2011 à 0:28
-
tetanosMembre à l'essaiEt qui signe les logs? Google?le 01/12/2011 à 11:22