La Fibre
Télécom => Réseau => Protocoles réseaux sécurisés (https) => Discussion démarrée par: corrector le 01 juin 2015 à 03:19:49
-
Google, qu'on sait très actif et volontaire dans le domaine de la généralisation de la crypto sur Internet, a lancé une initiative potentiellement très importante et "structurante" pour les Autorités de certification : obliger à la transparence sur les certificats signés.
Au départ, cela ne va concerner que les signatures de certificats "EV", mais cela devait être généralisé, si la communauté suit cette initiative.
Pour avoir des détails et explications techniques (qui ne sont vraiment pas passionnantes), vous pouvez commencer par là :
http://www.certificate-transparency.org/what-is-ct
Cette glanost des CA est censé permettre aux administrateurs de domaine de surveiller les certificats émis pour ses domaines et donc de détecter toute fraude. Pensez-vous que les possesseurs et administrateurs de domaines vont s'astreindre à cette surveillance?
Est-ce que cette initiative vous parait utile?
Pensez-vous que les CA vont suivre le mouvement? Et les éditeurs de navigateurs?
-
Est-ce que cette initiative vous parait utile?
Elle a déjà permis d'attraper la CA du gouvernement signant un certificat CA:TRUE installé dans un outil de mitm actif.
-
Quand ça?
-
En 2013, une sous-CA de l'ANSSI a été détecté dans une équipement de MITM par Google. (https://googleonlinesecurity.blogspot.fr/2013/12/further-improving-digital-certificate.html)
Résultat: La CA de l'ANSSI n'est plus valide que par les domaines français pour Chrome (https://src.chromium.org/viewvc/chrome/trunk/src/net/cert/cert_verify_proc.cc?annotate=240942&pathrev=240942#l473).
-
Les restrictions de certificats sont rarement utilisées alors qu'elles pourraient limiter les risques en cas d'échec des mesures de sécurité.
C'est assez remarquable.