Auteur Sujet: WoSign et StartCom bientôt blacklisté: quid de ce forum? (Lu 3432 fois)

turold · « **le:** 27 septembre 2016 à 14:25:49 »

Salut,

Je viens de découvrir une affaire qui touche, entre autre, StartCom (sic pour ce forum).
Les nouveaux certificats seront blacklistés durant un an... minimum.
Ce qui va poser problème au renouvellement de l'année prochaine (2 ans je crois ici). Surtout que le forum n'est pas dispo en http.

Voici la découverte: https://www.nextinpact.com/news/101540-mozilla-veut-bannir-deux-autorites-ayant-antidate-leurs-certificats-sha-1.htm
Et le communiqué (en anglais) de Mozilla (qui a transmis aux autres éditeurs de navigateurs): https://docs.google.com/document/d/1C6BlmbeQfn4a9zydVi2UvjBGv6szuSB4sMYUcVrR8vQ/preview

Cela part d'un problème de contournement sur le SHA-1, mais fini en un possible blacklistage de tout nouveaux certificats, sans distinction, provenant de ses 2 autorités.

Hugues · « **Réponse #1 le:** 27 septembre 2016 à 14:27:03 »

Lafibre va passer sur let's encrypt de mémoire.

Vivien?

vivien · « **Réponse #2 le:** 27 septembre 2016 à 19:11:07 »

C'est ça : mon certificat expire en mars 2017 et je n'ai pas prévu de le renouveler.

il faut que je teste let's encrypt... (je teste pas sur lafibre.info)

Bref, cela va arriver d'ici la fin de l'année (sauf si urgence car le certificat est viré de Firefox)

kgersen · « **Réponse #3 le:** 27 septembre 2016 à 19:37:34 »

letsencrypt c'est bien si tu automatises le renouvellement sinon tout les 3 mois t'es bon pour une manip.

Mais ils ont prévu la chose donc c'est facile a automatiser.

y'a un tuto la: https://www.digitalocean.com/community/tutorials/how-to-secure-apache-with-let-s-encrypt-on-ubuntu-16-04

letsar · « **Réponse #4 le:** 27 septembre 2016 à 19:57:04 »

Il existe un tutoriel en français ?

Hugues · « **Réponse #5 le:** 27 septembre 2016 à 19:59:21 »

sudo git clone https://github.com/letsencrypt/letsencrypt /opt/letsencrypt
cd /opt/letsencrypt
sudo ./letsencrypt-auto

vivien · « **Réponse #6 le:** 27 septembre 2016 à 20:14:06 »

Les tutoriels sont toujours très simples.

Ce que je ne comprends pas, c'est comment Let's Encrypt vérifie que je suis bien le propriétaire du nom de domaine ?

C'est le rôle d'une autorité de certification. Pour les certificats EV (barre d'adresse verte) c'est complexe mais pour un certificat de base, il y a noralement au moins vérification que l'utilisateur est bien celui qui a enregistré le nom de domaine, via une simple vérification mail.
Pour mon certificat actuel avec une willcard, j'ai du envoyer à StartCom un scan de ma pièce d'identité + passeport + facture de téléphone et répondre à un appel téléphonique où on me pose quelques questions comme ma date de naissance.

Si j'ai un fichier de configuration avec le nom de domaine microsoft.fr, Let's Encrypt m’envoie automatiquement le certificat pour le domaine microsoft.fr, sous réserve que j'arrive à faire pointer le DNS sur mon serveur ?

Hugues · « **Réponse #7 le:** 27 septembre 2016 à 20:19:35 »

simple, si tu as la main sur le serveur et que tu as redirigé le domaine sur ton IP, c'est que tu as légitimité à faire un certificat

Hugues · « **Réponse #8 le:** 27 septembre 2016 à 20:20:16 »

Citation de: vivien le 27 septembre 2016 à 20:14:06

Si j'ai un fichier de configuration avec le nom de domaine microsoft.fr, Let's Encrypt m’envoie automatiquement le certificat pour le domaine microsoft.fr, sous réserve que j'arrive à faire pointer le DNS sur mon serveur ?

Tout à fait, mais bon courage

vivien · « **Réponse #9 le:** 27 septembre 2016 à 20:30:34 »

Pour la NSA, je ne pense pas que ce soit problématique....

Il faudrait plus sécuriser l'infra DNS.

Hugues · « **Réponse #10 le:** 27 septembre 2016 à 20:48:06 »

Oui enfin générer des certificats signés par une autiorité quequonque non plus je pense.

Electrocut · « **Réponse #11 le:** 27 septembre 2016 à 21:28:05 »

D'autant que la NSA dispose sûrement d'une autorité de confiance connue des navigateurs (au même titre que l'ANSSI, cf. l'épisode "Un certificat de l'ANSSI utilisé pour des attaques MITM sur les services Google").