Suite à certaines réserves émises par les autorités de certifications (CAs), Google a décidé de revoir le temps pendant lequel ses certificats digitaux devaient être validés. Le Certification Authority Browser (CA/B) suggère de ne pas valider un certificat sur une période supérieure à 60 mois. D'ailleurs à cet effet le CA/B a publié Baseline Requirements, un document qui compile une liste de recommandations pour les CAs et la délivrance de certificats.
« A la suite d'une analyse approfondie de certificats disponibles et découvrables publiquement ainsi que de la discussion animée entre les membres du forum CA/B [Certificate Authority/Browser Forum], nous avons décidé de mettre bientôt sur pied des contrôles dans les navigateurs Google Chrome et Chromium afin de nous assurer de la conformité au Baseline Requirements » a expliqué Ryan Sleevi, un membre de l'équipe Google Chrome.
Google précise que ces changements prendront effet au début de l'année prochaine et que tous les certificats issus après la publication effective du Baseline Requirements (1er juillet 2012) se verront rejetés s'ils ont une valeur supérieure à 60 mois.
Mozilla emboîte le pas à Google et ouvre une discussion sur le sujet sur BugZilla. « Tout le monde est d'avis que les certifications délivrées récemment sont incompatibles au Baseline Requirements. » dit Gervase Markham qui s'occupe des problèmes liés aux projets d'administration de Mozilla sur BugZilla. Suite à la décision de Google, il estime que Mozilla devrait « envisager de faire la même chose ».
Ces deux dernières années, les CAs ont connu des attaques des plus désastreuses, à l'instar de celles perpétrées contre Comodo. Comodo est un émetteur important de certificats de sécurité SSL, qui s'est vu délivrer à tort neuf certificats SSL frauduleux pour sept domaines Web, y compris Google.com, Yahoo.com et Skype.com suite à la compromission de la sécurité d'une de ses filiales.
Suite à une attaque des CA, il revient généralement aux éditeurs de navigateurs de retirer la confiance de certificats compromis pour protéger leurs utilisateurs. Pour Sleevi, bien que limiter la durée de validité des certificats ne soit pas une solution miracle, le raccourcissement de la période de validité peut réduire la pratique consistant à délivrer en continu des certificats qui ont déjà été approuvés.
Sources : forum CA/B, Baseline Requirements (au format PDF), BugZilla, ThreatPost
Et vous ?
Qu'en pensez-vous ?
Google et Mozilla envisagent de limiter à 60 mois la validité d'un certificat
Sur leur navigateurs
Google et Mozilla envisagent de limiter à 60 mois la validité d'un certificat
Sur leur navigateurs
Le , par Stéphane le calme
Une erreur dans cette actualité ? Signalez-nous-la !