https://www.nextinpact.com/news/93514-certificats-quand-comodo-se-fait-berner-par-alias-outlook-com.htm
(...)

On peut appeler ça comme on veut, mais les certificats ne sont pas infaillibles, comme on voulait nous faire croire.

Voyons voir cette affaire :

Un utilisateur se fait passer pour Microsoft et obtient un certificat au nom de l'éditeur

Et voilà que Comodo se retrouve une nouvelle fois impliqué dans un problème de certificat. Un responsable informatique finlandais a en effet remarqué en janvier que le webmail de Microsoft, Outlook.com, permettait de créer des alias de manière assez libre (la fonctionnalité n’est pas neuve). Il s’est alors demandé s’il pouvait créer une adresse ayant une apparence « officielle ». Dont acte : l’alias hostmaster@live.fi lui a été attribué.

Fort de cette nouvelle adresse (qui ne fait finalement que renvoyer vers son adresse email centrale), il a réalisé une demande de certificat auprès de Comodo et au nom de Microsoft. L’adresse ayant paru suffisamment officielle, aucune question n’a été réclamée selon Tivi, qui rapporte l’information. Visiblement surpris par le résultat, le responsable informatique a alors contacté Microsoft et l’autorité finlandaise de régulation des communications, sans résultats.

Depuis quand un nom comme hostmaster est disponible pour les utilisateurs de base?

C'est la faute de COMODO et du système de certification si un quidam a accès à l'adresse hostmaster@live.fi?

Pourquoi l'auteur de l'article laisse entendre que COMODO a commis une faute ici?

Pourquoi l'auteur de l'article laisse entendre que cette affaire est comparable à ce qui est arrivé à Diginotar?

C'est quoi ce journalisme à noix qui mélange tout?

Non
C'est la faute de comodo de penser que cette adresse appartient forcement à l'administrateur du domaine.
C'est la faute de comodo de ne faire une vérification de la propriété que via ce moyen.

C'est un point de vue.

En tout cas c'est marqué dessus :

eMail-based DCV (Traditional)
You will be sent an email to an administrative contact for your domain. The email will contain a unique validation code and link. Clicking the link and entering the code will prove domain control.

Valid email addresses are:
Any email address which our system can scrape from a port 43 whois check;

The following generic admin type email addresses @ the domain for which the certificate is being applied:
admin@
administrator@
postmaster@
hostmaster@
webmaster@

Source : https://support.comodo.com/index.php?/Default/Knowledgebase/Article/View/791/16/

Donc l'article n'avait qu'à citer cette documentation pour critiquer COMODO et non citer un fait divers!

Non
C'est la faute de comodo de penser que cette adresse appartient forcement à l'administrateur du domaine.
C'est la faute de comodo de ne faire une vérification de la propriété que via ce moyen.

Non, ce serait la faute du CA/Browser Forum qui approuvé les règles Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates, v.1.2.3 dont la section 11.1.1 Authorization by Domain Name Registrant spécifie :

For each Fully-Qualified Domain Name listed in a Certificate, the CA SHALL confirm that, as of the date the Certificate was issued, the Applicant (or the Applicant’s Parent Company, Subsidiary Company, or Affiliate, collectively referred to as “Applicant” for the purposes of this section) either is the Domain Name Registrant or has control over the FQDN by:

(...)

4. Communicating with the Domain’s administrator using an email address created by pre-pending ‘admin’, ‘administrator’, ‘webmaster’, ‘hostmaster’, or ‘postmaster’ in the local part, followed by the at-sign (“@”), followed by the Domain Name, which may be formed by pruning zero or more components from the requested FQDN;

C'est aussi la faute des éditeurs des navigateurs, des éditeurs des OS, d'accepter des Autorités qui se réfèrent à ce document.

C'est la faute de comodo de penser que cette adresse appartient forcement à l'administrateur du domaine.

C'est le cas, d'après les usages et les normes :

hostmaster (plural hostmasters)

In computing, a person responsible for managing domain name records within the Domain Name System or any individual computer (typically a server).

http://en.wiktionary.org/wiki/hostmaster

5.  SUPPORT MAILBOX NAMES FOR SPECIFIC INTERNET SERVICES

   For major Internet protocol services, there is a mailbox defined for
   receiving queries and reports.  (Synonyms are included, here, due to
   their extensive installed base.)

   MAILBOX        SERVICE             SPECIFICATIONS
   -----------    ----------------    ---------------------------
   POSTMASTER     SMTP                [RFC821], [RFC822]
   HOSTMASTER     DNS                 [RFC1033-RFC1035]
   USENET         NNTP                [RFC977]
   NEWS           NNTP                Synonym for USENET
   WEBMASTER      HTTP                [RFC 2068]
   WWW            HTTP                Synonym for WEBMASTER
   UUCP           UUCP                [RFC976]
   FTP            FTP                 [RFC959]

https://www.ietf.org/rfc/rfc2142.txt

Le fait de considérer que "HOSTMASTER" est une adresse officielle est effectivement logique.

Le fonctionnement automatisé de la vérification des noms de domaines par l'envoi d'un email est conforme à la règle commune des CA établie par le "forum".

Cependant, il est foncièrement ILLOGIQUE de certifier une information sur la base d'un email, donc du SMTP, donc du DNS et le routage, pour faire fonctionner un système cryptographique dont une des principales justifications est la facilité d'attaquer le DNS ou le routage (BGP).

Sous chrome cadenas barré ce matin. J'ai l'impression que chrome change beaucoup de comportement su rla connexion internet ces temps ci.