Auteur Sujet: Nouveau certificat https pour https://LaFibre.info  (Lu 6367 fois)

0 Membres et 1 Invité sur ce sujet

corrector

  • Invité
Nouveau certificat https pour https://LaFibre.info
« Réponse #48 le: 29 mars 2015 à 07:14:00 »
Ce topic est occupé par plusieurs discussions sans liens avec le sujet initial.

J'ai repris les seuls messages pertinents dans un autre topic :
https://lafibre.info/evolution/signature-du-certificat-tls-de-lafibre-info/

corrector

  • Invité
multiplication des usurpations de certificats
« Réponse #49 le: 30 mars 2015 à 10:54:50 »
https://www.nextinpact.com/news/93514-certificats-quand-comodo-se-fait-berner-par-alias-outlook-com.htm
(...)

On peut appeler ça comme on veut, mais les certificats ne sont pas infaillibles, comme on voulait nous faire croire.
Voyons voir cette affaire :

Un utilisateur se fait passer pour Microsoft et obtient un certificat au nom de l'éditeur

Et voilà que Comodo se retrouve une nouvelle fois impliqué dans un problème de certificat. Un responsable informatique finlandais a en effet remarqué en janvier que le webmail de Microsoft, Outlook.com, permettait de créer des alias de manière assez libre (la fonctionnalité n’est pas neuve). Il s’est alors demandé s’il pouvait créer une adresse ayant une apparence « officielle ». Dont acte : l’alias hostmaster@live.fi lui a été attribué.

Fort de cette nouvelle adresse (qui ne fait finalement que renvoyer vers son adresse email centrale), il a réalisé une demande de certificat auprès de Comodo et au nom de Microsoft. L’adresse ayant paru suffisamment officielle, aucune question n’a été réclamée selon Tivi, qui rapporte l’information. Visiblement surpris par le résultat, le responsable informatique a alors contacté Microsoft et l’autorité finlandaise de régulation des communications, sans résultats.


Depuis quand un nom comme hostmaster est disponible pour les utilisateurs de base?

C'est la faute de COMODO et du système de certification si un quidam a accès à l'adresse hostmaster@live.fi?

Pourquoi l'auteur de l'article laisse entendre que COMODO a commis une faute ici?

Pourquoi l'auteur de l'article laisse entendre que cette affaire est comparable à ce qui est arrivé à Diginotar?

C'est quoi ce journalisme à noix qui mélange tout?

jack

  • Professionnel des télécoms
  • *
  • Messages: 1 615
  • La Madeleine (59)
Nouveau certificat https pour https://LaFibre.info
« Réponse #50 le: 30 mars 2015 à 11:05:31 »
Citer
C'est la faute de COMODO et du système de certification si un quidam a accès à l'adresse hostmaster@live.fi?
Non
C'est la faute de comodo de penser que cette adresse appartient forcement à l'administrateur du domaine.
C'est la faute de comodo de ne faire une vérification de la propriété que via ce moyen.

corrector

  • Invité
eMail-based DCV
« Réponse #51 le: 30 mars 2015 à 12:17:06 »
Non
C'est la faute de comodo de penser que cette adresse appartient forcement à l'administrateur du domaine.
C'est la faute de comodo de ne faire une vérification de la propriété que via ce moyen.
C'est un point de vue.

En tout cas c'est marqué dessus :
Citer
eMail-based DCV (Traditional)
You will be sent an email to an administrative contact for your domain. The email will contain a unique validation code and link. Clicking the link and entering the code will prove domain control.

Valid email addresses are:
Any email address which our system can scrape from a port 43 whois check;

The following generic admin type email addresses @ the domain for which the certificate is being applied:
admin@
administrator@
postmaster@
hostmaster@
webmaster@
Source : https://support.comodo.com/index.php?/Default/Knowledgebase/Article/View/791/16/

Donc l'article n'avait qu'à citer cette documentation pour critiquer COMODO et non citer un fait divers!

corrector

  • Invité
Nouveau certificat https pour https://LaFibre.info
« Réponse #52 le: 15 avril 2015 à 19:05:49 »
Et sans BitDefender, j'ai la même !

Edit : Après une rapide recherche, il semblerait que ce soit lié à SHA1 qui est utilisé pour l'empreinte plutôt que SHA2 et Chrome n'a pas l'air d'aimer. M'en demandez pas plus, j'y connais rien je ne fais que répéter ce que j'a lu ailleurs ;)

https://productforums.google.com/forum/#!topic/chrome-fr/C_-QiLpeBFA
Ben oui, c'est en gros ça.

corrector

  • Invité
Non
C'est la faute de comodo de penser que cette adresse appartient forcement à l'administrateur du domaine.
C'est la faute de comodo de ne faire une vérification de la propriété que via ce moyen.
Non, ce serait la faute du CA/Browser Forum qui approuvé les règles Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates, v.1.2.3 dont la section 11.1.1 Authorization by Domain Name Registrant spécifie :

Citer
For each Fully-Qualified Domain Name listed in a Certificate, the CA SHALL confirm that, as of the date the Certificate was issued, the Applicant (or the Applicant’s Parent Company, Subsidiary Company, or Affiliate, collectively referred to as “Applicant” for the purposes of this section) either is the Domain Name Registrant or has control over the FQDN by:

(...)

4. Communicating with the Domain’s administrator using an email address created by pre-pending ‘admin’, ‘administrator’, ‘webmaster’, ‘hostmaster’, or ‘postmaster’ in the local part, followed by the at-sign (“@”), followed by the Domain Name, which may be formed by pruning zero or more components from the requested FQDN;

C'est aussi la faute des éditeurs des navigateurs, des éditeurs des OS, d'accepter des Autorités qui se réfèrent à ce document.

corrector

  • Invité
Vérification par simple courriel
« Réponse #54 le: 16 avril 2015 à 15:48:37 »
Non
C'est la faute de comodo de penser que cette adresse appartient forcement à l'administrateur du domaine.
C'est la faute de comodo de ne faire une vérification de la propriété que via ce moyen.
Admettons.

Mais Microsoft fait bien parti du groupement CA/Browser qui a autorisé ce moyen de vérification :

https://cabforum.org/members/

corrector

  • Invité
Nouveau certificat https pour https://LaFibre.info
« Réponse #55 le: 17 avril 2015 à 21:56:43 »
C'est la faute de comodo de penser que cette adresse appartient forcement à l'administrateur du domaine.
C'est le cas, d'après les usages et les normes :

Citer
hostmaster (plural hostmasters)

In computing, a person responsible for managing domain name records within the Domain Name System or any individual computer (typically a server).
http://en.wiktionary.org/wiki/hostmaster

Citer
5.  SUPPORT MAILBOX NAMES FOR SPECIFIC INTERNET SERVICES

   For major Internet protocol services, there is a mailbox defined for
   receiving queries and reports.  (Synonyms are included, here, due to
   their extensive installed base.)

   MAILBOX        SERVICE             SPECIFICATIONS
   -----------    ----------------    ---------------------------
   POSTMASTER     SMTP                [RFC821], [RFC822]
   HOSTMASTER     DNS                 [RFC1033-RFC1035]
   USENET         NNTP                [RFC977]
   NEWS           NNTP                Synonym for USENET
   WEBMASTER      HTTP                [RFC 2068]
   WWW            HTTP                Synonym for WEBMASTER
   UUCP           UUCP                [RFC976]
   FTP            FTP                 [RFC959]
https://www.ietf.org/rfc/rfc2142.txt

jack

  • Professionnel des télécoms
  • *
  • Messages: 1 615
  • La Madeleine (59)
Nouveau certificat https pour https://LaFibre.info
« Réponse #56 le: 17 avril 2015 à 22:24:55 »
Hawé, donc en fait, et pour chaque domaine, ces noms devraient être reservé
Merci de l'info, le comportement de comodo est, de fait, beaucoup plus logique

corrector

  • Invité
Nouveau certificat https pour https://LaFibre.info
« Réponse #57 le: 22 avril 2015 à 03:14:22 »
Le fait de considérer que "HOSTMASTER" est une adresse officielle est effectivement logique.

Le fonctionnement automatisé de la vérification des noms de domaines par l'envoi d'un email est conforme à la règle commune des CA établie par le "forum".

Cependant, il est foncièrement ILLOGIQUE de certifier une information sur la base d'un email, donc du SMTP, donc du DNS et le routage, pour faire fonctionner un système cryptographique dont une des principales justifications est la facilité d'attaquer le DNS ou le routage (BGP).

corrector

  • Invité
multiplication des usurpations de certificats
« Réponse #58 le: 25 avril 2015 à 20:48:12 »
https://www.nextinpact.com/news/93564-google-monte-au-creneau-contre-certificat-securite-genere-en-son-nom.htm
https://www.nextinpact.com/news/93514-certificats-quand-comodo-se-fait-berner-par-alias-outlook-com.htm
https://www.nextinpact.com/archive/65907-diginotar-faillite-certificats-ssl-securite.htm (2011 mais en relation indirecte avec le précédent lien)
https://www.nextinpact.com/news/93164-laffaire-superfish-revele-probleme-securite-plus-vaste-avec-certificats.htm
etc

On peut appeler ça comme on veut, mais les certificats ne sont pas infaillibles, comme on voulait nous faire croire.
Sur le net, rien n'est "infaillible".

Surtout pas un système qui repose sur la fiabilité de centaines de tiers de confiance plus ou moins bien identifiés.

Mais l'affaire Superfish ne démontre pas cela. Elle n'a simplement rien à voir.

Optrolight

  • Client Orange Fibre
  • Modérateur
  • *
  • Messages: 4 667
  • Grenoble (38) @Optrolight
    • Optroastro
Nouveau certificat https pour https://LaFibre.info
« Réponse #59 le: 01 juillet 2015 à 08:49:44 »
Sous chrome cadenas barré ce matin. J'ai l'impression que chrome change beaucoup de comportement su rla connexion internet ces temps ci.