Tout a commencé l’année dernière, lorsque les ingénieurs de Mozilla ont décidé d’enquêter sur une liste d'incidents potentiels liés à l’autorité de certification WoSign. Le premier incident de cette liste remonte à la période allant du 16 janvier au 5 mars 2015, période durant laquelle WoSign a émis 1132 certificats SHA-1 dont la validité était étendue au-delà du 1er janvier 2017. Pourtant, les vieux certificats SHA-1 ayant été jugés peu fiables, ont été mis au rebut par l’ensemble des éditeurs de navigateurs. Mozilla avait d’ailleurs été clair dessus : « à compter du 16 janvier 2015, les autorités de certification NE DEVRONT PAS délivrer des certificats utilisant l’algorithme SHA-1 avec une date d’expiration allant au-delà du 1er janvier 2017. »
Les ingénieurs ont expliqué que certains d’entre les incidents semblent ne pas avoir été provoqués par WoSign. Et certains de ceux pour lesquels WoSign a reconnu être coupable sont très graves, à l'instar des noms de domaine arbitraires non validés dans les certificats. « Les plus graves du point de vue de la confiance sont les incidents que WoSign a niés, mais dont une preuve de l'allégation existe. L'un de ces incidents était la suggestion (problème S) que WoSign a intentionnellement antidaté des certificats pour éviter que ses émissions de SHA-1 ne soient bloquées par les navigateurs. »
Mozilla a également pointé du doigt l’autorité de certification israélienne StartCom, assurant que WoSign l’avait rachetée et s’en servait pour perpétrer certaines actions que l’éditeur a jugées illicites. WoSign avait d’abord réfuté cette affirmation selon laquelle il aurait racheté cette autorité. Cependant, face aux preuves, WoSign a dû l’admettre plus tard.
Compte tenu de tous ces problèmes, Mozilla a perdu confiance dans la capacité de WoSign / StartCom à remplir fidèlement et avec compétence les fonctions d'une autorité de certification. « Par conséquent, nous proposons que, à compter d'une date à déterminer dans un avenir proche, les produits Mozilla ne fassent plus confiance aux certificats nouvellement émis par l'une de ces deux autorités de certification. »
Après une discussion avec des représentants des autorités, qui ont tenté de trouver un terrain d’entente, Mozilla a décidé de bannir les certificats SSL délivrés par les autorités de certification WoSign / StartCom.
Mozilla n’a proposé que de retirer sa confiance aux certificats nouvellement émis afin de réduire l’impact sur les internautes étant donné la notoriété de ces deux autorités de certification. Pour déterminer les certificats « nouvellement émis », les ingénieurs ont proposé d’examiner la date « notBefore » dans les certificats. « Il est vrai que cette date est choisie par l’autorité de certification et donc par WoSign / StartCom qui pourraient revenir à des dates antérieures pour contourner cette mesure. Et il y a, comme nous l’avons expliqué, une preuve qu’ils l’ont fait par le passé. Cependant, plusieurs paires d’yeux sont rivées sur le web PKI et si un tel rétrodatage était découvert (indépendamment du moyen), Mozilla révoquerait immédiatement et de façon permanente la confiance accordée aux racines WoSign et StartCom. »
Les ingénieurs ont indiqué que cette mesure devra être appliquée au moins durant un an, période après laquelle WoSign / StartCom pourra être admis à nouveau dans les listes approuvées de Mozilla sous réserve de certaines conditions.
Cette situation n’a pas manqué de provoquer les réactions d’autres acteurs du secteur technologique comme Apple qui a décidé de bannir à son tour les certificats émis par ces deux autorités. Google a emboîté le pas, assurant que tous les certificats délivrés par ces autorités datés d’après le 21 octobre 2016 seront révoqués.
Concernant ceux qui ont été émis avant, ils seront validés, pour un moment et uniquement s’ils sont conformes à la politique de transparence de certificats de Chrome ou alors sont délivrés sur un ensemble restreint de domaines connus comme étant des clients de WoSign / StartCom.
« En raison d'un certain nombre de contraintes techniques ainsi que de préoccupations, Google Chrome ne peut pas faire confiance à tous les certificats préexistants tout en garantissant que nos utilisateurs sont suffisamment protégés contre d'autres erreurs. Suite à ces modifications, les clients de WoSign et de StartCom pourraient constater que leurs certificats ne fonctionnent plus dans Chrome 56 », a prévenu Google.
Dans un billet de blog, l'ingénieur en sécurité Devon O'Brien, qui travaille au sein de l’équipe responsable du développement de Chrome, est venu rappeler que Chrome est dans le processus de retirer sa confiance des certificats émis par ces autorités : « Nous avons commencé ce processus dans Chrome 56 en autorisant uniquement les certificats délivrés avant le 21 octobre 2016 et avons ensuite restreint la confiance dans un ensemble de noms d'hôtes sur la liste blanche basée sur Alexa Top 1M. Nous allons réduire la taille de la liste blanche au cours des prochaines versions de Chrome. »
« À partir de Chrome 61, la liste blanche sera supprimée, ce qui va se traduire par un retirement total de la confiance envers les certificats racines WoSign et StartCom existants et tous les certificats qu'ils ont émis », a-t-il prévenu.
« Les sites utilisant encore les certificats issus de StartCom ou WoSign devraient envisager de remplacer ces certificats de manière urgente afin de minimiser les perturbations pour les utilisateurs de Chrome », a-t-il suggéré.
Source : billet Devon O'Brien
Et vous ?
Qu'en pensez-vous ?
Google va révoquer les certificats issus par WoSign/StartCom dès Chrome 61
Et suggère à ceux qui en disposent de se tourner vers d'autres autorités
Google va révoquer les certificats issus par WoSign/StartCom dès Chrome 61
Et suggère à ceux qui en disposent de se tourner vers d'autres autorités
Le , par Stéphane le calme
Une erreur dans cette actualité ? Signalez-nous-la !