Mise à jour du 25 / 10 / 2016 : Mozilla a décidé de révoquer les certificats issus par les autorités WoSign et StartCom pendant un anConformément à l’avis de ses ingénieurs, Mozilla a décidé de bannir les certificats SSL délivrés par les autorités de certification WoSign / StartCom malgré les efforts de Qihoo 360, le fournisseur chinois de solution antivirus, pour éviter ce scénario. Notons que Qihoo a une implication financière directe sur WoSign étant donné qu’il est l’actionnaire majoritaire de cette autorité de certification.
En effet, à l’issue d’une réunion qui a eu lieu à Londres il y a plus de deux semaines, Qihoo a indiqué que WoSign allait renvoyer son PDG et a également proposé une nouvelle direction pour la gestion de WoSign et StartCom. Des mesures qui n’ont sans doute pas suffi à Mozilla qui vient de voter pour une révocation des certificats issus des deux autorités. « Les niveaux de tromperie qu’ont affiché des représentants de la société combinée [WoSign + StartCom] a conduit à la décision de Mozilla de se méfier des certificats futurs liés aux certificats racines de WoSign et StartCom », a indiqué la fondation dans un billet.
Par ricochet, Mozilla a déclaré qu'il n’allait plus accepter les audits de sécurité effectués par Ernst & Young Hong Kong, le cabinet de sécurité qui a vérifié les pratiques commerciales de WoSign. Apple a déjà banni les certificats issus de ces deux autorités d’iOS et Mac OS X. Microsoft et Google ne se sont pas encore prononcés pour le moment.
Source : blog Mozilla
Mozilla envisage de bannir les nouveaux certificats SSL émis par l’autorité de certification WoSign ainsi que ceux émis par l’autorité de certification StartCom, qui semble avoir été secrètement achetée l’année dernière, de ses listes approuvées pendant un an.
Les ingénieurs de Mozilla expliquent que depuis quelques semaines, Mozilla a entrepris d’enquêter sur une liste d'incidents potentiels liés à l’autorité de certification WoSign. Le premier incident de cette liste remonte à la période allant du 16 janvier au 5 mars 2015, période durant laquelle WoSign a émis 1132 certificats SHA-1 dont la validité était étendue au-delà du 1er janvier 2017. Pourtant, les vieux certificats SHA-1 ayant été jugés peu fiables, ont été mis au rebut par l’ensemble des éditeurs de navigateurs. Mozilla avait d’ailleurs été clair dessus : « à compter du 16 janvier 2015, les autorités de certification NE DEVRONT PAS délivrer des certificats utilisant l’algorithme SHA-1 avec une date d’expiration allant au-delà du 1er janvier 2017 ».
À ce propos, les auditeurs de WoSign ont rapporté que « nous comprenons que WoSign a établi des procédures et des contrôles mis en place pour veiller à ce que les certificats SSL soient révoqués avant ou d’ici le 31 décembre 2016 ».
Les ingénieurs ont expliqué que certains d’entre les incidents semblent ne pas avoir été provoqués par WoSign. Et certains de ceux pour lesquels WoSign a reconnu être coupable sont très graves, à l'instar des noms de domaine arbitraires non validés dans les certificats. « Le plus grave du point de vue de la confiance sont les incidents que WoSign a nié mais dont une preuve de l'allégation existe. L'un de ces incidents était la suggestion (problème S) que WoSign a intentionnellement antidaté des certificats pour éviter que ses émissions de SHA-1 ne soient bloquées par les navigateurs ».
De plus, WoSign semble réfuter l’affirmation selon laquelle il a racheté l’autorité israélienne de certification StartCom. Mais Mozilla indique que « comme documenté dans l'enquête de Mozilla et comme confirmé par un avocat de langue hébraïque qui a examiné les documents pour nous, depuis le 1er Novembre 2015, WoSign a pris à 100 % la propriété de l’autorité de certification “StartCom” basée en Israël par le biais de sociétés intermédiaires au Royaume-Uni et à Hong Kong. Le problème R dans la liste originale des mises au point couvre cela. Bien qu’acheter une autre autorité de certification ne soit nullement illégal, les exigences du programme de Mozilla stipulent qu'un changement de propriété d’autorité de certification doit être divulgué. Dans ce cas, cela n'a pas été fait - de plus, ce changement de propriété a été immédiatement réfuté quelques mois après ».
Et de continuer en disant que « plus récemment, même après que la preuve du contrôle total est devenue publique, dans un communiqué de presse WoSign a souligné que son intérêt pour StartCom se résumait à un « investissement en capital », et a précisé que les deux entreprises continuent d'être séparées, même aujourd'hui. Ils affirment que "le système d'origine ... de StartCom reste inchangé" ». Pourtant, Mozilla affirme qu’il y a des preuves techniques qui attestent qu’environ un mois et demi après le rachat de StartCom, l’autorité a basculé sur les infrastructures de WoSign. Ces éléments de preuve pris ensemble, Mozilla pense que les certificats de StartCom sont désormais délivrés en s’appuyant soit sur l’infrastructure de WoSign, soit sur un clone de cette infrastructure.
La fondation note également que les pratiques de WoSign sont également observées chez StartCom, ce qui lui permet de conclure que, étant donné que la propriété, l'infrastructure et le contrôle sont suffisamment commun entre les deux entreprises, il serait donc raisonnable que toute action intentée par Mozilla à l’endroit de WoSign soit également prise contre StartCom et vice versa.
Compte tenu de tous ces problèmes, Mozilla a perdu confiance dans la capacité de WoSign / StartCom à remplir fidèlement et avec compétence les fonctions d'une autorité de certification. « Par conséquent, nous proposons que, à compter d'une date à déterminer dans un avenir proche, les produits Mozilla ne fassent plus confiance aux certificats nouvellement émis par l'une de ces deux autorités de certification ».
Mozilla n’a proposé que de retirer sa confiance aux certificats nouvellement émis afin de réduire l’impact sur les internautes étant donné la notoriété de ces deux autorités de certification. Pour déterminer les certificats « nouvellement émis », les ingénieurs ont proposé d’examiner la date “notBefore” dans les certificats. « Il est vrai que cette date est choisie par l’autorité de certification et donc par WoSign / StartCom qui pourraient revenir à des dates antérieures pour contourner cette mesure. Et il y a, comme nous l’avons expliqué, une preuve qu’ils l’ont fait par le passé. Cependant, plusieurs paires d’yeux sont rivées sur le web PKI et si un tel rétro-datage était découvert (indépendamment du moyen), Mozilla révoquerait immédiatement et de façon permanente la confiance accordée aux racines WoSign et StartCom ».
Les ingénieurs indiquent que cette mesure devra être appliquée au moins durant un an, période après laquelle WoSign / StartCom pourront être admis à nouveau dans les listes approuvées de Mozilla sous réserve de certaines conditions.
Source : explications de Mozilla (Google Docs), liste des infractions WoSign
Voir aussi :
le forum sécurité web ; la rubrique développement web ; cours et tutoriels développement web ; FAQ développement web SHA-1 : Microsoft suit l'exemple de Mozilla et opte pour une fin de support en juin 2016, au lieu de janvier 2017 sur son navigateur 
? Fournir un service basé sur la confiance en mentant ouvertement et à tout va ?
