Auteur Sujet: Bug : Chrome accepte des certificats SSL révoqués sous Android et Ubuntu  (Lu 13970 fois)

0 Membres et 1 Invité sur ce sujet

vivien

  • Administrateur
  • *
  • Messages: 48 030
    • Twitter LaFibre.info
Bug : Chrome accepte des certificats SSL révoqués sous Android et Ubuntu (mais pas sous Windows)

Simyo s'est fait révoquer son certificat SSL => #Fail: Simyo HS a cause d'un nom de domaine non renouvelé et SSL révoqué. J'ai réalisé quelques tests et je suis étonné de voir que Chrome ne bloque pas le site sous Android et Ubuntu. (Sous Windows, Chrome bloque bien le site, de même que les autres navigateurs, quel que soit la plate-forme)

Chrome et tous ses dérivés (Chromium ainsi que le navigateur par défaut d'Android) acceptent les certificats SSL révoqués !
Vérifié sur plusieurs versions :
- Android 4.2.2 sur Andy + Chrome
- Android 4.2.2 sur Andy + Navigateur par défaut d'android
- Android 4.4.4 sur Samsung Galayx s5 + Chrome
- Android 4.4.4 sur Samsung Galayx s5 + Navigateur par défaut d'android
- Ubuntu 14.10 + Chrome 38
- Ubuntu 14.10 + Chrome 39
- Ubuntu 14.04.1 + Chromium 39
- Ubuntu 14.10 + Chromium 39
Sur ces 8 cas, le site s'est affiché sans aucun problème, ni alerte (et même avec la barre verte sous Android)

Par contre sur Windows, Chrome 39 refuse d'afficher le site :
- Windows XP + Chrome 39
- Windows 8.1 + Chrome 39
- Windows XP + Firefox 34
- Windows Vista + Firefox 34
- Windows 8.1 + Firefox 34
- Ubuntu 14.10 + Firefox 34
- Windows XP + Internet Explorer 8
- Windows 8.1 + Internet Explorer 11

vivien

  • Administrateur
  • *
  • Messages: 48 030
    • Twitter LaFibre.info
Bug : Chrome accepte des certificats SSL révoqués sous Android et Ubuntu
« Réponse #1 le: 21 décembre 2014 à 11:16:58 »
Quelques copie d'écran sous Ubuntu 14.10 64bits :

Ubuntu 14.10 + Firefox 34 :


Ubuntu 14.10 + Chrome 39 :




vivien

  • Administrateur
  • *
  • Messages: 48 030
    • Twitter LaFibre.info
Bug : Chrome accepte des certificats SSL révoqués sous Android et Ubuntu
« Réponse #2 le: 21 décembre 2014 à 11:17:07 »
Quelques copies d'écran sous Android 4.2.2 sur Andy :

Android 4.2.2 sur Andy +  + Firefox 34 :


Android 4.2.2 sur Andy + le navigateur par défaut d'Android :


Android 4.2.2 sur Andy + Chrome 39 :








vivien

  • Administrateur
  • *
  • Messages: 48 030
    • Twitter LaFibre.info
Bug : Chrome accepte des certificats SSL révoqués sous Android et Ubuntu
« Réponse #3 le: 21 décembre 2014 à 11:19:35 »
Quelques copie d'écran sous Windows 8.1 :

Windows 8.1 + Firefox 34 :


Windows 8.1 + Internet Explorer 11 :


Windows 8.1 + Chrome 39 :




vivien

  • Administrateur
  • *
  • Messages: 48 030
    • Twitter LaFibre.info
Bug : Chrome accepte des certificats SSL révoqués sous Android et Ubuntu
« Réponse #4 le: 21 décembre 2014 à 11:22:15 »
Quelques copie d'écran sous Windows XP :

Windows XP + Firefox 34 :


Windows XP + Internet Explorer 8 :


Windows XP + Chrome 39 :


Windows XP + Opera 26 :


vivien

  • Administrateur
  • *
  • Messages: 48 030
    • Twitter LaFibre.info
Bug : Chrome accepte des certificats SSL révoqués sous Android et Ubuntu
« Réponse #5 le: 21 décembre 2014 à 11:24:02 »
Le certificat utilisé par Simyo :


Damien

  • Expert
  • *
  • Messages: 1 807
Bug : Chrome accepte des certificats SSL révoqués sous Android et Ubuntu
« Réponse #6 le: 21 décembre 2014 à 11:30:21 »
Redirection vers la version SANS https pour ma part à l'instant sous Chrome et Chromium (Ubuntu)

vivien

  • Administrateur
  • *
  • Messages: 48 030
    • Twitter LaFibre.info
Bug : Chrome accepte des certificats SSL révoqués sous Android et Ubuntu
« Réponse #7 le: 21 décembre 2014 à 12:08:47 »
Le site Simyo (http://www.simyo.fr/) n'est pas entièrement en  https

Seul les parties sensibles du sites sont en https (et forcées en https) :
- Commander (utilisé pour toutes mes copie d'écran)
- Espace client (en haut à droite)
- Contacter simyo (tout en bas)

Le reste est en http

Damien

  • Expert
  • *
  • Messages: 1 807
Bug : Chrome accepte des certificats SSL révoqués sous Android et Ubuntu
« Réponse #8 le: 21 décembre 2014 à 12:11:07 »
Firefox sous Ubuntu accepte désormais https://www.simyo.fr/simyo-fr/portal/catalogue.do
Un changement depuis quelques minutes ?

vivien

  • Administrateur
  • *
  • Messages: 48 030
    • Twitter LaFibre.info
Bug : Chrome accepte des certificats SSL révoqués sous Android et Ubuntu
« Réponse #9 le: 21 décembre 2014 à 12:12:06 »
Chez moi cela ne fonctionne toujours pas !


vivien

  • Administrateur
  • *
  • Messages: 48 030
    • Twitter LaFibre.info
Bug : Chrome accepte des certificats SSL révoqués sous Android et Ubuntu
« Réponse #10 le: 21 décembre 2014 à 12:15:30 »
Le bug est déja ouvert chez Google : https://code.google.com/p/chromium/issues/detail?id=362710
(Merci mccob)

Issue 362710: Android browser does not check for certificate revocation

Bug ouvert le 11 avril 2014 et toujours pas corrigé !

2 raisons sont évoquées :

Marking this WontFix for two reasons:
1) Revocation checking is the responsibility of Android and the related SSL APIs. Android itself does not and has never performed revocation checking - use https://code.google.com/p/android/ .
2) Revocation checking generally doesn't work (as a security feature), and especially for mobile, greatly affects performance (negatively) and privacy (negatively)


J'hésite à le ré-ouvrir pour Ubuntu...
Je signale que Firefox sous Android arrive très bien à vérifier si les sites sont révoqués... un peu facile l'excuse.


Cette vidéo prend tout son sens...

corrector

  • Invité
Bug : Chrome accepte des certificats SSL révoqués sous Android et Ubuntu
« Réponse #11 le: 21 décembre 2014 à 16:56:46 »
1) Ne me lance pas sur Firefox vs. la liberté.

2) Personne ne dit qu'il n'est pas possible de vérifier le statut de révocation. Il est question de savoir
- si ça a une utilité pour la sécurité de l'authentification (douteux),
- si c'est nuisible à une autre propriété de sécurité : la fiabilité,
- et si ça a un impact sur la vie privée (qu'on aussi classer dans la rubrique sécurité).
Bref, si ça ne nuit pas à la sécurité.
« Modifié: 31 décembre 2014 à 23:43:22 par corrector »