Principaux certificats SSL interdits par Google Chrome!
Conformément aux termes d'une sanction annoncée par Google l'année précédente, le géant du web a émis une déclaration disant qu'il ne peut plus faire confiance aux autorités de certification TLS ou SSL WoSign ainsi que sa filiale, StartCom. Cela vient juste avant le lancement du Chrome 61. La raison de cette interdiction? Eh bien, selon Google, les deux autorités de certification n'ont pas respecté les normes élevées attendues de la part des autorités de certification.
Bien que choquant, cette décision peut difficilement être qualifiée de surprise compte tenu de la manière dont Google a reçu des notifications de l'équipe de sécurité de GitHub le 17.e En août de l'année dernière, à propos du fait que WoSign - l'autorité de certification chinoise - avait remis un certificat de base pour l'un des domaines de GitHub à un utilisateur de GitHub non divulgué sans demander aucune autorisation.
Pourquoi Google a pris la décision?
Une fois la nouvelle de ce problème diffusée, une enquête complète a été lancée par l'équipe Google. Cette enquête devait être publique en collaboration avec Mozilla et la communauté de sécurité dans son ensemble. L'enquête a très vite révélé des preuves intéressantes concernant divers autres cas impliquant la délivrance incorrecte de certificats de la part de WoSign.
En raison du résultat de l'enquête, Google n'a eu d'autre choix que de réduire la confiance des certificats soutenus par StartCom et WoSign à ceux qui avaient été émis avant le 21st d'octobre de l'année dernière. De plus, le géant de la technologie est actuellement en train de supprimer divers noms d'hôte sur la liste blanche au cours de différentes versions de Chrome depuis Google Chrome 56.
Désormais, selon le contenu d'un récent post Google de Devon O'Brien, ingénieur en sécurité pour Chrome, la société supprimerait enfin la liste blanche de la dernière version de Chrome. Cela signifie que Google a décidé de se méfier totalement des certificats StartCom et WoSign actuels. O'Brien dit qu'à partir de Chrome 61, la liste blanche ne sera plus là, conduisant ainsi à une méfiance totale à l'égard des certificats racine existants de WoSign et de StartCom, sa filiale, ainsi que de tous les certificats émis par eux.
Selon le calendrier de développement de Chromium, tous ces changements qui ont été mis en œuvre seront visibles dans le canal Chrome Dev au cours des prochaines semaines. Le canal Chrome Beta présentera ces changements vers la fin de juillet 2017, tandis que la version Stable reflétera ces changements vers le milieu du mois de septembre 2017.
L'année dernière, Mozilla et Apple ont révoqué leur confiance à WoSign, et c'est StartCom qui a émis les certificats pour leurs navigateurs Web en raison d'un certain nombre de problèmes de gestion et techniques.
Ce sont des certificats SSL antérieurs
Selon Kathleen Wilson, qui est à la tête du programme racine de confiance pour Mozilla, ils ont trouvé des preuves que WoSign et StartCom antidataient les certificats SSL afin de trouver un moyen de dépasser la date limite, ce qui a empêché les autorités de certification d'émettre des certificats SSL SHA-1. après le 1st de janvier 2016. Il s'agit d'une réclamation très sérieuse et pourrait avoir des répercussions majeures pour les autorités de certification SSL à l'avenir.
Mais ce n’est pas tout. C'est Mozilla qui a également découvert que WoSign avait pris possession à plein temps d'une autre autorité de certification connue sous le nom de StartCom, mais n'avait pas réussi à révéler ces informations, bien qu'elles soient clairement mentionnées dans la politique de Mozilla.
Les problèmes avec le service de certificats WoSign remontent à juillet 2015, et ces informations ont été divulguées au public l'année précédente par Gervase Markham. Selon le programmeur britannique Mozilla, un chercheur non identifié est tombé par hasard sur cette oubli de sécurité alors qu'il tentait de recevoir un certificat pour «med.ucf.edu». Il avait également envoyé une demande pour «www.ucf.ed» et WoSign lui avait donné son approbation, en fournissant le certificat pour le domaine principal de l'université.
Pour tester cela, le chercheur en sécurité a utilisé la même astuce contre les domaines basés sur GitHub. Il a prouvé son contrôle sur un sous-domaine et, de manière choquante, WoSign lui a également donné le certificat pour les principaux domaines de GitHub.
Ainsi, à partir de la fin de cette année, à partir de septembre 2017, toute personne visitant des sites Web utilisant des certificats HTTPS StartCom et WoSign recevra des avertissements de confiance sur leur navigateur Web.
This method has completely changed the game for me, thank you.
I’ve tried many other methods before, but this one is by far the most effective.
I’ve never seen a method presented in such a clear and engaging way. This is fantastic!