Auteur Sujet: Google pourrait révoquer 1/3 des certificats SSL émis par Symantec  (Lu 3819 fois)

0 Membres et 1 Invité sur ce sujet

Marco POLO

  • Abonné Free fibre
  • *
  • Messages: 2 132
  • FTTH 1 Gb/s sur Paris (75)
Pour sanctionner Symantec, Google pourrait révoquer 1/3 des certificats SSL

Après un nouvel incident relatif à la délivrance de certificats, Google manifeste sa méfiance à l'égard de la plus grande autorité de certification du monde et compte prendre des mesures de rétorsion.

La durée de validité des certifications SSL de Symantec sera ramenée à neuf mois sur les navigateurs Google Chrome.

Pour répondre à plusieurs irrégularités dans l’émission de certificats SSL par Symantec ou ses revendeurs de certificats, Google envisage de sanctionner sévèrement l’autorité de certification. L’une des options envisagées est de forcer l’autorité de certification à remplacer tous les certificats de ses clients et de ne plus reconnaître le statut de validation étendue (EV). Selon une comptabilité tenue depuis 2015 par Netcraft, Symantec est responsable de l’émission d’un tiers des certificats SSL utilisés sur le Web, ce qui en fait le plus grand èmetteur de certificats commerciaux dans le monde. Après des acquisitions successives, l’entreprise contrôle désormais les certificats racines de plusieurs autorités de certification autrefois autonomes, notamment VeriSign, GeoTrust, Thawte et RapidSSL.$

Les certificats SSL/TLS sont utilisés pour chiffrer les connexions entre les navigateurs et les sites Web compatibles HTTPS, mais aussi pour vérifier que les utilisateurs sont bien dirigés vers les sites Web qu'ils ont l'intention d'utiliser et non vers des sites contrefaits. Ces certificats sont émis par ce que l’on appelle des autorités de certification, approuvées par défaut par les navigateurs et les systèmes d'exploitation. Le processus d'émission et de gestion des certificats est régi par les règles établies par le CA/Browser Forum, une organisation qui compte parmi ses membres des éditeurs de navigateurs et des autorités de certification. Quand ces règles ne sont pas respectées, le navigateur et les éditeurs d'OS peuvent révoquer la confiance dans les certificats fautifs et sanctionner les autorités de certification responsables, jusqu'à les expulser de leurs entrepôts de certificats racines.

Une révocation graduelle

À la suite de l’enquête sur un incident récent, Google estime que Symantec n'a pas respecté les pratiques de sécurité que l’on peut attendre d’une autorité de certification, en particulier dans la procédure de validation du contrôle de domaine, l'audit des logs pour mettre en évidence les délivrances illicites et plus de vigilance dans la délivrance de certificats frauduleux. Si Google met ses sanctions à exécution, des millions de certificats Symantec existants ne seront plus reconnus comme dignes de confiance par Google Chrome au cours des 12 prochains mois. Le processus sera graduel, c’est-à-dire que chaque nouvelle version de Chrome à partir de la version 59 n’accordera plus sa confiance à une nouvelle série de certificats et révoquera la confiance dans les certificats dont la période de validité va au-delà de 33 mois.

Cette décision mettrait Symantec sous une énorme pression : l’entreprise va devoir contacter tous ses clients, valider une nouvelle fois leur identité et la propriété de leurs domaines, et remplacer leurs certificats existants par de nouveaux certificats, cela sans contribution financière de leur part. Il est probable que certaines entreprises auront du mal à remplacer leurs certificats dans des délais aussi courts, notamment celles qui les utilisent dans des terminaux de paiement et autres périphériques embarqués difficiles à atteindre. De plus, Symantec devra peut-être rembourser les clients qui ont payé pour les certificats de validation étendue (EV). Comme ils ne seront plus reconnus comme tels dans Chrome, leur valeur en sera considérablement réduite. L'interdiction des certificats EV de Symantec devrait se prolonger pendant au moins un an.

Une durée de vie de 9 mois seulement pour les certificats Symantec

Pour être dignes de confiance dans Chrome, tous les certificats de remplacement émis par Symantec ne pourront avoir une durée de validité dépassant neuf mois. Cela risque de poser de nouveaux problèmes aux grandes entreprises qui n’auront pas la possibilité de remplacer facilement leurs certificats tous les neuf mois. On peut dire avec certitude que les sanctions prises par Google pourraient avoir un impact significatif sur les activités SSL de Symantec. Elle pourrait perdre des clients qui ne sont pas prêts à supporter ces restrictions, et iraient donc s’adresser à une autre autorité de certification (CA).

Ce n’est pas la première fois que des éditeurs de navigateurs prennent des sanctions contre les autorités de certification pour sanctionner la délivrance inappropriée de certificats — ou leurs « défauts d’émission » comme le formule l'industrie — mais jamais à cette échelle et avec un impact aussi important sur l'écosystème. À chaque fois, certains se sont demandé si les éditeurs de navigateurs avaient vraiment le droit de prendre des sanctions aussi drastiques contre les plus grandes autorités de certification du monde, ou si ces autorités avaient tout simplement trop d’importance pour être mises en cause.

Des incidents à répétition

La raison de cette sanction sans précédent semble être liée à des incidents répétés dans l’émission inappropriée de certificats par Symantec au cours des dernières années. Certains de ces certificats n'ont même pas pu être identifiés par Symantec malgré les audits menés en interne et en externe. La dernière défaillance en date, découverte cette année, concerne 127 certificats émis avec de fausses informations ou sans vérification appropriée de la propriété de domaine par un partenaire de Symantec qui agissait en tant qu’autorité d'enregistrement (AE).


Source: LeMondeInformatique.fr par Lucian Constantin / IDG News Service (adaptation Jean Elyan) , publié le 27 Mars 2017. 

Anonyme

  • Invité
Google pourrait révoquer 1/3 des certificats SSL émis par Symantec
« Réponse #1 le: 28 mars 2017 à 20:30:51 »


Cette décision mettrait Symantec sous une énorme pression : l’entreprise va devoir contacter tous ses clients, valider une nouvelle fois leur identité et la propriété de leurs domaines, et remplacer leurs certificats existants par de nouveaux certificats, cela sans contribution financière de leur part. Il est probable que certaines entreprises auront du mal à remplacer leurs certificats dans des délais aussi courts, notamment celles qui les utilisent dans des terminaux de paiement et autres périphériques embarqués difficiles à atteindre.

Bizarre.

corrector

  • Invité
Google pourrait révoquer 1/3 des certificats SSL émis par Symantec
« Réponse #2 le: 28 mars 2017 à 22:12:52 »
Ils savent pas remplacer les certificats?

Bien fait pour eux. Ils n'avaient qu'à réfléchir mieux.

vivien

  • Administrateur
  • *
  • Messages: 47 086
    • Twitter LaFibre.info
Google pourrait révoquer 1/3 des certificats SSL émis par Symantec
« Réponse #3 le: 29 mars 2017 à 08:54:59 »
Je pense que les différents mesures de rétorsions portées contre des autorités de certifications qui ont fait des erreurs font que les autres vont faire très attention, vu le risque encouru...

Je me pose des questions pour Let's Encrypt : ils ne vérifient que si le nom de domaine (uniquement le champs DNS A) pointe vers le serveur qui demande le certificat. C'est faible comme vérification, non ?

Symantec a fait pire pour ses certificats de base ?

Edit : Fin 2015, Symantec avait reconnu avoir fourni près de 2 500 certificats pour des noms de domaine inexistants, après signalement de Google. 23 certificats de test avaient par ailleurs été fournis pour des adresses liées à Google et Opera, sans que les sociétés ne soient mises au courant.
Je n'ai rien trouvé sur les nouveaux pb en 2017.

A noter que à partir de Chrome 61, les nouveaux certificats devront également ne pas avoir de période de validité supérieure à neuf mois pour être acceptés par le navigateur. « De quoi assurer que le risque de toute future erreur d'émission est, au mieux, contenu à neuf mois » estime-t-il.

Bref Symantec va perdre un maximum de clients...

On connait la suite pour StartCom / WoSign ?

Ils arrêtent de faire des certificats ? (avec des certificats qui ne sont plus reconnus dans Chorme et Firefox, cela doit bien limiter le nb de clients  ;D)
Pour information, la version 51 de Firefox (diffusée le 24/01/2017), considère les certificats StartCom / WoSign émis après le 21/10/2016 comme révoqués ...
Je viens d'en faire les frais pour mon nom de domaine, après avoir reçu la mise à jour automatique de Firefox hier ;)

Petit rappel :
Révocation des certificats WoSign / StartCom : Google emboîte le pas à Mozilla et Apple Et décide de bloquer ces certificats à partir de Chrome 56

Après Apple, puis Mozilla, sans surprise c’est désormais Google qui a décidé de s’opposer aux certificats émis par les autorités de certification WoSign / StartCom. Dans un billet de blog, le numéro un de la recherche a indiqué qu’à compter de Chrome 56, les certificats délivrés par ces autorités datés d’après le 21 octobre 2016 seront révoqués. Concernant ceux qui ont été émis avant, ils seront validés, pour un moment et uniquement s’ils sont conformes à la politique de transparence de certificats de Chrome ou alors sont délivrés sur un ensemble restreint de domaines connus comme étant des clients de WoSign / StartCom.

« En raison d'un certain nombre de contraintes techniques ainsi que de préoccupations, Google Chrome ne peut pas faire confiance à tous les certificats pré-existants tout en garantissant que nos utilisateurs sont suffisamment protégés contre d'autres erreurs. Suite à ces modifications, les clients de WoSign et de StartCom pourraient constater que leurs certificats ne fonctionnent plus dans Chrome 56 », a prévenu Google.

Et de continuer en disant que dans les versions à venir de Chrome, ces exceptions seront réduites pour être finalement supprimées, ce qui caractérise bel et bien la méfiance vis-à-vis de ces autorités. « Cette approche par étapes sert uniquement à s'assurer que les sites ont la possibilité de faire la transition vers d'autres autorités de certification encore fiables dans Google Chrome, ce qui minimise les interruptions pour les utilisateurs de ces sites. Les sites qui se trouvent sur cette liste blanche pourront demander un retrait anticipé une fois qu'ils auront effectué la transition vers de nouveaux certificats. Toute tentative de WoSign ou StartCom de contourner ces contrôles entraînera un retrait immédiat et complet de la confiance », a martelé Google.

Comme chez Apple, Google n’a pas donné de date limite à cette sanction et encore moins si cette situation sera permanente ou pourra être inversée dans le futur.

Pour rappel, les ingénieurs de Mozilla ont enquêté sur une liste d’incidents liés à WoSign et ont conclu qu’il était nécessaire de bannir les certificats délivrés par cette autorité ainsi que StartCom, qui a été rachetée par WoSign, pour des pratiques trompeuses. Une réunion a eu lieu avec les représentants des parties intéressés afin que WoSign puisse se défendre, réunion à l’issue de laquelle Mozilla n’a pas du tout été satisfait. « Les niveaux de tromperie qu’ont affiché des représentants de la société combinée [WoSign + StartCom] a conduit à la décision de Mozilla de se méfier des certificats futurs liés aux certificats racines de WoSign et StartCom », a indiqué la fondation dans un billet. Dans la foulée, Mozilla a déclaré qu'il n’allait plus accepter les audits de sécurité effectués par Ernst & Young Hong Kong, le cabinet de sécurité qui a vérifié les pratiques commerciales de WoSign.


Source : developpez.com / blog Chrome Le 1er novembre 2016, par Stéphane le calme, Chroniqueur Actualités

corrector

  • Invité
Google pourrait révoquer 1/3 des certificats SSL émis par Symantec
« Réponse #4 le: 29 mars 2017 à 09:12:11 »
Chaque autorité publie une déclaration de politique de vérification pour que type de confiance (en gros pour chaque certificat racine).

Il faut la LIRE et la COMPRENDRE, de préférence AVANT de l'accepter et d'intégrer la racine.

On peut trouver la politique un peu légère mais ce n'est pas des années après publication qu'il faut réagir.

Gabi

  • Abonné SFR THD (câble)
  • *
  • Messages: 94
Google pourrait révoquer 1/3 des certificats SSL émis par Symantec
« Réponse #5 le: 29 mars 2017 à 22:20:01 »
Ce n'est pas chaque CA qui fait un peu comme elle veut avec les modalités de vérification.

Le CA/B forum publie des Baseline Requirements (BR) que sont censé adopter toutes les CA candidates à l'inclusion en tant que "Publicly Trusted Root". C'est dit très explicitement chez Mozilla : https://wiki.mozilla.org/CA:BaselineRequirements

Pour Symantec, il y a plusieurs points qui coincent :
  • Des certificats ont été émis alors qu'ils n'auraient pas dû, et Symantec n'a pas bien réagi --> réduction de la durée de validité à 9 mois. Cela fait déjà suite à l'obligation pour Symantec de publier les certificats émis sur des logs de Certificate Transparency, suite à plusieurs incidents.
  • Un peu moins mis en avant, mais Symantec va perdre pour certaines de ses roots, la "Extended Validation" : plus de "barre verte" si votre certificat EV vient de chez Symantec.
Il est intéressant de lire la discussion depuis la début : https://groups.google.com/a/chromium.org/forum/#!msg/blink-dev/eUAKwjihhBs/rpxMXjZHCQAJ
Il y a clairement une volonté de Google de "ne pas tout péter", ce qui explique la timeline un peu complexe

Citer
Je me pose des questions pour Let's Encrypt : ils ne vérifient que si le nom de domaine (uniquement le champs DNS A) pointe vers le serveur qui demande le certificat. C'est faible comme vérification, non ?

Un certificat "Domain Validated" est là juste pour garantir que l'on parle au bon domaine ... rien de plus. Les autres CA ne font pas mieux.
Let's Encrypt a été audité comme les autres (https://bugzilla.mozilla.org/show_bug.cgi?id=1204656).

corrector

  • Invité
Google pourrait révoquer 1/3 des certificats SSL émis par Symantec
« Réponse #6 le: 30 mars 2017 à 19:31:10 »
Il y a clairement une volonté de Google de "ne pas tout péter", ce qui explique la timeline un peu complexe
Bref à cause du poids du truc, on ménage les utilisateurs...

Too big to fail
Too big to jail

Ce qui est encouragement implicite à la super-concentration des risques, même si Google prend des sanctions "douces".

Un certificat "Domain Validated" est là juste pour garantir que l'on parle au bon domaine ... rien de plus. Les autres CA ne font pas mieux.
Let's Encrypt a été audité comme les autres (https://bugzilla.mozilla.org/show_bug.cgi?id=1204656).
On a vu à quel point l'audit garantit la compétence et le suivi des procédures...  :-X

corrector

  • Invité
Google pourrait révoquer 1/3 des certificats SSL émis par Symantec
« Réponse #7 le: 30 mars 2017 à 20:30:04 »
Je pense que les différents mesures de rétorsions portées contre des autorités de certifications qui ont fait des erreurs font que les autres vont faire très attention, vu le risque encouru...

Je me pose des questions pour Let's Encrypt : ils ne vérifient que si le nom de domaine (uniquement le champs DNS A) pointe vers le serveur qui demande le certificat. C'est faible comme vérification, non ?

Symantec a fait pire pour ses certificats de base ?
De nombreuses autorités ont fait pire par le passé!

Tu as oublié VeriSign?
Et COMODO?
Ainsi que COMODO?

Tu n'as jamais regardé ton magasin de certificats? Il y a de jolis certificates MS!