Afin de valider le certificat TLS d'un site comme lafibre.info, il faut faire appel à des "ancres" ou "racines" de confiance : la cryptographie permet de dire "je fais confiance à X, X me dit d'accepter les affirmations de Y d'une certaine forme si elles sont signées par K ..." mais tout ça doit bien partir de quelque, on parle donc "d'ancre" ou de "racine", selon l'humeur.
Les navigateurs comportent donc une série d'ancres pour ancrer la confiance, parmi lesquelles StartCom qui permet de valider le certificat TLS de lafibre, et plein d'autres dont la racine de l'ANSSI.
Cette racine ne doit bien entendu jamais permettre d'affirmer une chose fausse, hors elle a permit d'affirmer que des certificats qui n'appartenaient pas à Google étaient valides pour des domaines de Google.
Google a donc bien sûr commencé par tirer pour ensuite discuter :
- annulation de la racine en cause
- discussion pour comprendre ce qui s'est passé
C'est une honte terrible pour l'ANSSI qui aura bien du mal à laver son honneur.