Je pense que les différents mesures de rétorsions portées contre des autorités de certifications qui ont fait des erreurs font que les autres vont faire très attention, vu le risque encouru...
Je me pose des questions pour Let's Encrypt : ils ne vérifient que si le nom de domaine (uniquement le champs DNS A) pointe vers le serveur qui demande le certificat. C'est faible comme vérification, non ?
Symantec a fait pire pour ses certificats de base ?
Edit : Fin 2015, Symantec avait reconnu avoir fourni près de 2 500 certificats pour des noms de domaine inexistants, après signalement de Google. 23 certificats de test avaient par ailleurs été fournis pour des adresses liées à Google et Opera, sans que les sociétés ne soient mises au courant.
Je n'ai rien trouvé sur les nouveaux pb en 2017.
A noter que à partir de Chrome 61, les nouveaux certificats devront également ne pas avoir de période de validité supérieure à neuf mois pour être acceptés par le navigateur. « De quoi assurer que le risque de toute future erreur d'émission est, au mieux, contenu à neuf mois » estime-t-il.
Bref Symantec va perdre un maximum de clients...
On connait la suite pour StartCom / WoSign ?Ils arrêtent de faire des certificats ? (avec des certificats qui ne sont plus reconnus dans Chorme et Firefox, cela doit bien limiter le nb de clients
)
Pour information, la version 51 de Firefox (diffusée le 24/01/2017), considère les certificats StartCom / WoSign émis après le 21/10/2016 comme révoqués ...
Je viens d'en faire les frais pour mon nom de domaine, après avoir reçu la mise à jour automatique de Firefox hier
Petit rappel :
Révocation des certificats WoSign / StartCom : Google emboîte le pas à Mozilla et Apple Et décide de bloquer ces certificats à partir de Chrome 56
Après Apple, puis Mozilla, sans surprise c’est désormais Google qui a décidé de s’opposer aux certificats émis par les autorités de certification WoSign / StartCom. Dans un billet de blog, le numéro un de la recherche a indiqué qu’à compter de Chrome 56, les certificats délivrés par ces autorités datés d’après le 21 octobre 2016 seront révoqués. Concernant ceux qui ont été émis avant, ils seront validés, pour un moment et uniquement s’ils sont conformes à la politique de transparence de certificats de Chrome ou alors sont délivrés sur un ensemble restreint de domaines connus comme étant des clients de WoSign / StartCom.
« En raison d'un certain nombre de contraintes techniques ainsi que de préoccupations, Google Chrome ne peut pas faire confiance à tous les certificats pré-existants tout en garantissant que nos utilisateurs sont suffisamment protégés contre d'autres erreurs. Suite à ces modifications, les clients de WoSign et de StartCom pourraient constater que leurs certificats ne fonctionnent plus dans Chrome 56 », a prévenu Google.
Et de continuer en disant que dans les versions à venir de Chrome, ces exceptions seront réduites pour être finalement supprimées, ce qui caractérise bel et bien la méfiance vis-à-vis de ces autorités. « Cette approche par étapes sert uniquement à s'assurer que les sites ont la possibilité de faire la transition vers d'autres autorités de certification encore fiables dans Google Chrome, ce qui minimise les interruptions pour les utilisateurs de ces sites. Les sites qui se trouvent sur cette liste blanche pourront demander un retrait anticipé une fois qu'ils auront effectué la transition vers de nouveaux certificats. Toute tentative de WoSign ou StartCom de contourner ces contrôles entraînera un retrait immédiat et complet de la confiance », a martelé Google.
Comme chez Apple, Google n’a pas donné de date limite à cette sanction et encore moins si cette situation sera permanente ou pourra être inversée dans le futur.
Pour rappel, les ingénieurs de Mozilla ont enquêté sur une liste d’incidents liés à WoSign et ont conclu qu’il était nécessaire de bannir les certificats délivrés par cette autorité ainsi que StartCom, qui a été rachetée par WoSign, pour des pratiques trompeuses. Une réunion a eu lieu avec les représentants des parties intéressés afin que WoSign puisse se défendre, réunion à l’issue de laquelle Mozilla n’a pas du tout été satisfait. « Les niveaux de tromperie qu’ont affiché des représentants de la société combinée [WoSign + StartCom] a conduit à la décision de Mozilla de se méfier des certificats futurs liés aux certificats racines de WoSign et StartCom », a indiqué la fondation dans un billet. Dans la foulée, Mozilla a déclaré qu'il n’allait plus accepter les audits de sécurité effectués par Ernst & Young Hong Kong, le cabinet de sécurité qui a vérifié les pratiques commerciales de WoSign.Source : developpez.com / blog Chrome Le 1er novembre 2016, par Stéphane le calme, Chroniqueur Actualités