Auteur Sujet: #Fail: Simyo HS a cause d'un nom de domaine non renouvelé et SSL révoqué (Lu 20358 fois)

pasbefri · « **Réponse #36 le:** 02 janvier 2015 à 16:22:20 »

Citation de: vivien le 01 janvier 2015 à 21:28:42

C'est un PC avec Windows 8.1 pré-installé par Dell, et je suis un peu étonné de voir des certificats Dell :

Non, c'est normal, si un des certificats préinstallés par Dell a une référence à ses propres serveurs de révocation.
Que donne la liste des certificats installés dans la partie 'ordinateur' ?
p.ex. en Powershell

Code: [Sélectionner]

gci Cert:\LocalMachine -rec | ? { $_.Issuer -match 'dell' }

vivien · « **Réponse #37 le:** 02 janvier 2015 à 18:50:28 »

Voici le résultat de la commande.

Si je comprends bien, il y a donc un seul certificat Dell sur mon PC alors qu'il y a 3 url différentes pour récupérer des listes de certificats Dell révoqués

vivien · « **Réponse #38 le:** 02 janvier 2015 à 21:37:04 »

Le nouveau certificat semble avoir été mis en prod aujourd'hui et cela fonctionne partout maintenant.

Avant :

Maintenant :

Tout n'est pas parfait : Un "F" (la pire note) sur SSL Report est même catastrophique

tom pouce · « **Réponse #39 le:** 03 janvier 2015 à 00:22:08 »

On fait pire : https://www.ssllabs.com/ssltest/analyze.html?d=cas.my.ecp.fr

corrector · « **Réponse #40 le:** 03 janvier 2015 à 00:31:39 »

Pour ceux qui ne connaissent pas, les SSL_CK* sont les suites de SSL v2, un protocole vraiment très mal conçu qui utilisait les mêmes clefs privées plusieurs fois, ce qui va à l'encontre d'un des principes les plus fondamentaux de la conception d'un protocole : une clé ne doit avoir qu'un seul usage.

Electrocut · « **Réponse #41 le:** 03 janvier 2015 à 09:09:13 »

Citation de: tom pouce le 03 janvier 2015 à 00:22:08

On fait pire : https://www.ssllabs.com/ssltest/analyze.html?d=cas.my.ecp.fr

C'est "juste" que le certificat a été signé par l'autorité de certification CAcert, qui ne fait pas partie des autorités de confiance dont les certificats sont présents de base dans les navigateurs.

Ce n'est pas forcèment déconnant pour un site d'université qui ne souhaite pas payer (et qui ne connaît pas, ou ne souhaite pas utiliser
StartSSL

)

Par contre, il faut que le certificat de l'autorité soit ajoutée à la main dans le navigateur.

En dehors de ça, le site s'en sort avec la note B.

vivien · « **Réponse #42 le:** 03 janvier 2015 à 09:38:27 »

Je n'ai jamais compris pourquoi http://www.cacert.org n'était pas reconnu dans les navigateurs et https://www.startssl.com/ oui (dans les deux cas le but est de démocratiser les certificats SSL et d'encourager à leur utilisation). Dans les deux cas, elles signent automatiquement et gratuitement des certificats pour les adresses mail contrôlées par le demandeur, et pour les domaines dont certaines adresses sont contrôlées par le demandeur.

CAcert Inc. est une association à but non lucratif enregistrée en Australie.
StartCom est l'éditeur de la distribution Linux "StartCom Linux Enterprise" en Israël, crée par Eddy Nigg.

corrector · « **Réponse #43 le:** 03 janvier 2015 à 10:56:58 »

Citation de: manuel-le-vieux le 02 janvier 2015 à 15:18:55

Le problème de base est donc corrigé, mais cela à permis de se poser des questions sur le "sérieux" avec lequel les navigateurs ou les OS vérifient ou ne vérifient pas les certificats.

La sécurité informatique est une chaine dont la solidité dépend de la robustesse du maillon le plus faible.

Tiens d'ailleurs :

1.3.3 Relying Parties
A relying party is an individual or entity that acts in reliance
of a certificate and/or of a digital signature issued under the
StartCom Certification Authority. A relying party may or may not
also be a subscriber of the StartCom Certification Authority.
Naturally the person who ultimately receives a signed document or
communication, or accesses a secured website is referred to as
the “Relying Party”, e.g. he/she is relying on the certificate
and has to make a decision on whether to trust it.

1.4.2.4 Relying Party Obligations
• Read the procedures published in this document.
• Use the certificates for the permitted uses only.
• Understand the limitations of the liability and warranties as
published in this document.
• Not assume any authorization attributes based solely on an
entity's possession of a StartCom Certification Authority
issued certificate.
• Must verify the certificate against the revocation list (CRL)
and/or OCSP responder, check against expiry time, certificate
chain, the validity check of the certificates in the chain and
the identification of the domain and email.
• Must not use the information contained in the certificates to
harass or spam the party stated in the certificate, harvest or
use the details other than necessary in order to build an
opinion about it's content for reliance.

https://www.startssl.com/policy.pdf

kgersen · « **Réponse #44 le:** 03 janvier 2015 à 11:13:13 »

Citation de: vivien le 03 janvier 2015 à 09:38:27

Je n'ai jamais compris pourquoi http://www.cacert.org n'était pas reconnu dans les navigateurs et https://www.startssl.com/ oui (dans les deux cas le but est de démocratiser les certificats SSL et d'encourager à leur utilisation). Dans les deux cas, elles signent automatiquement et gratuitement des certificats pour les adresses mail contrôlées par le demandeur, et pour les domaines dont certaines adresses sont contrôlées par le demandeur.

CAcert Inc. est une association à but non lucratif enregistrée en Australie.
StartCom est l'éditeur de la distribution Linux "StartCom Linux Enterprise" en Israël, crée par Eddy Nigg.

Chrome utilise la CA root list de l'OS. Donc c'est a Microsoft et les autres d'inclure ce CA par défaut.
Source: https://code.google.com/p/chromium/issues/detail?id=78272

tom pouce · « **Réponse #45 le:** 03 janvier 2015 à 11:24:32 »

Citation de: Electrocut le 03 janvier 2015 à 09:09:13

Ce n'est pas forcèment déconnant pour un site d'université qui ne souhaite pas payer (et qui ne connaît pas, ou ne souhaite pas utiliser
StartSSL )

Je sais bien, je suis passé par VIA

Le souci pour nous n'est pas financier mais politique : nous préférons la façon de faire de CACert (et nous maintenons, année après année, une base de gens avec suffisamment de points pour signer des certificats, dans les équipes renouvelées chaque année), à celle d'autorités de certification moins regardantes dès lors qu'on paie.

Paul · « **Réponse #46 le:** 03 janvier 2015 à 11:41:44 »

Pas de certificats faits par Asus sur leurs PC apparemment.

corrector · « **Réponse #47 le:** 03 janvier 2015 à 12:06:38 »

Citation de: vivien le 03 janvier 2015 à 09:38:27

Je n'ai jamais compris pourquoi http://www.cacert.org n'était pas reconnu dans les navigateurs et https://www.startssl.com/ oui (dans les deux cas le but est de démocratiser les certificats SSL et d'encourager à leur utilisation). Dans les deux cas, elles signent automatiquement et gratuitement des certificats pour les adresses mail contrôlées par le demandeur, et pour les domaines dont certaines adresses sont contrôlées par le demandeur.

En effet :

3.2.2.1.2 Domain Names
Fully qualified domain names, typically “www.domain.com” or
“domain.com” are validated by sending an electronic mail
message with a verification code to one of the following
administrative electronic mail accounts:
● webmaster@domain.com
● hostmaster@domain.com
● postmaster@domain.com
Additionally the existence of the domain name is verified by
checking the WHOIS records provided by the domain name
registrar. If the WHOIS data contain additional email
addresses, they may be offered as additional choices to the
above mentioned electronic mail accounts.

https://www.startssl.com/policy.pdf

Auteur Sujet: #Fail: Simyo HS a cause d'un nom de domaine non renouvelé et SSL révoqué (Lu 20358 fois)

corrector

corrector

corrector