Google et Mozilla envisagent de limiter à 60 mois la validité d'un certificat
Sur leur navigateurs

Le , par Stéphane le calme, Chroniqueur Actualités
Suite à certaines réserves émises par les autorités de certifications (CAs), Google a décidé de revoir le temps pendant lequel ses certificats digitaux devaient être validés. Le Certification Authority Browser (CA/B) suggère de ne pas valider un certificat sur une période supérieure à 60 mois. D'ailleurs à cet effet le CA/B a publié Baseline Requirements, un document qui compile une liste de recommandations pour les CAs et la délivrance de certificats.


« A la suite d'une analyse approfondie de certificats disponibles et découvrables publiquement ainsi que de la discussion animée entre les membres du forum CA/B [Certificate Authority/Browser Forum], nous avons décidé de mettre bientôt sur pied des contrôles dans les navigateurs Google Chrome et Chromium afin de nous assurer de la conformité au Baseline Requirements » a expliqué Ryan Sleevi, un membre de l'équipe Google Chrome.

Google précise que ces changements prendront effet au début de l'année prochaine et que tous les certificats issus après la publication effective du Baseline Requirements (1er juillet 2012) se verront rejetés s'ils ont une valeur supérieure à 60 mois.

Mozilla emboîte le pas à Google et ouvre une discussion sur le sujet sur BugZilla. « Tout le monde est d'avis que les certifications délivrées récemment sont incompatibles au Baseline Requirements. » dit Gervase Markham qui s'occupe des problèmes liés aux projets d'administration de Mozilla sur BugZilla. Suite à la décision de Google, il estime que Mozilla devrait « envisager de faire la même chose ».

Ces deux dernières années, les CAs ont connu des attaques des plus désastreuses, à l'instar de celles perpétrées contre Comodo. Comodo est un émetteur important de certificats de sécurité SSL, qui s'est vu délivrer à tort neuf certificats SSL frauduleux pour sept domaines Web, y compris Google.com, Yahoo.com et Skype.com suite à la compromission de la sécurité d'une de ses filiales.

Suite à une attaque des CA, il revient généralement aux éditeurs de navigateurs de retirer la confiance de certificats compromis pour protéger leurs utilisateurs. Pour Sleevi, bien que limiter la durée de validité des certificats ne soit pas une solution miracle, le raccourcissement de la période de validité peut réduire la pratique consistant à délivrer en continu des certificats qui ont déjà été approuvés.

Sources : forum CA/B, Baseline Requirements (au format PDF), BugZilla, ThreatPost

Et vous ?

Qu'en pensez-vous ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Uther Uther - Expert éminent https://www.developpez.com
le 27/08/2013 à 9:28
Ça parait logique et je suis surpris que ça ne soit pas déjà le cas.
En matière de sécurité 5 ans c'est déjà très long, plus c'est clairement dangereux
Avatar de gangsoleil gangsoleil - Modérateur https://www.developpez.com
le 27/08/2013 à 9:58
5 ans, c'est deja beaucoup trop. Pourquoi ne pas limiter a 1 an ???
Avatar de CapFlow CapFlow - Membre actif https://www.developpez.com
le 27/08/2013 à 14:43
Citation Envoyé par gangsoleil  Voir le message
5 ans, c'est deja beaucoup trop. Pourquoi ne pas limiter a 1 an ???

Surement pour les problèmes d'entreprises. Quand on sait que certains ordinateurs tournent encore sur IE6-IE7 voir IE8 (pas le choix pour XP ^^, mais IE8 est déjà bien mieux que ses prédécesseurs), je pense pas que 1 an soit assez pour que les entreprises mettent a jour leur navigateurs.
Avatar de Uther Uther - Expert éminent https://www.developpez.com
le 27/08/2013 à 15:00
Rien n’empêche de garder un vieux navigateur et de mettre a jour ces certificats.
Avatar de CapFlow CapFlow - Membre actif https://www.developpez.com
le 28/08/2013 à 10:56
Citation Envoyé par Uther  Voir le message
Rien n’empêche de garder un vieux navigateur et de mettre a jour ces certificats.

C'est bête de faire une mise à jour sans en faire une autre ^^
Avatar de Uther Uther - Expert éminent https://www.developpez.com
le 28/08/2013 à 11:15
C'est différent. La mise a jour des certificats, c'est une mise a jour de sécurité et même les boites qui utilisent IE6 font encore des mises à jour de sécurité (du moins toutes celles qui n'ont pas un administrateur sénile). Ça ne touche aucune fonctionnalité et c'est normalement totalement transparent.

Une mise à jour majeure, ça a un impact potentiel sur le fonctionnement, ce qui explique les réticence de montée de version.
Offres d'emploi IT
Expert décisionnel business intelligence H/F
Safran - Ile de France - Évry (91090)
Architecte et intégrateur scade/simulink H/F
Safran - Ile de France - Vélizy-Villacoublay (78140)
Consultant sap finance/controlling H/F
Safran - Ile de France - Vélizy-Villacoublay (78140)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil