La Fibre
Fonctionnement du forum => A lire avant de commencer... => 
Évolution de LaFibre.info, bugs et critiques => Discussion démarrée par: turold le 27 septembre 2016 à 14:25:49
-
Salut,
Je viens de découvrir une affaire qui touche, entre autre, StartCom (sic pour ce forum).
Les nouveaux certificats seront blacklistés durant un an... minimum.
Ce qui va poser problème au renouvellement de l'année prochaine (2 ans je crois ici). Surtout que le forum n'est pas dispo en http.
Voici la découverte: https://www.nextinpact.com/news/101540-mozilla-veut-bannir-deux-autorites-ayant-antidate-leurs-certificats-sha-1.htm
Et le communiqué (en anglais) de Mozilla (qui a transmis aux autres éditeurs de navigateurs): https://docs.google.com/document/d/1C6BlmbeQfn4a9zydVi2UvjBGv6szuSB4sMYUcVrR8vQ/preview
Cela part d'un problème de contournement sur le SHA-1, mais fini en un possible blacklistage de tout nouveaux certificats, sans distinction, provenant de ses 2 autorités.
-
Lafibre va passer sur let's encrypt de mémoire.
Vivien?
-
C'est ça : mon certificat expire en mars 2017 et je n'ai pas prévu de le renouveler.
il faut que je teste let's encrypt... (je teste pas sur lafibre.info)
Bref, cela va arriver d'ici la fin de l'année (sauf si urgence car le certificat est viré de Firefox)
-
letsencrypt c'est bien si tu automatises le renouvellement sinon tout les 3 mois t'es bon pour une manip.
Mais ils ont prévu la chose donc c'est facile a automatiser.
y'a un tuto la: https://www.digitalocean.com/community/tutorials/how-to-secure-apache-with-let-s-encrypt-on-ubuntu-16-04
-
Il existe un tutoriel en français ?
-
sudo git clone https://github.com/letsencrypt/letsencrypt /opt/letsencrypt
cd /opt/letsencrypt
sudo ./letsencrypt-auto
-
Les tutoriels sont toujours très simples.
Ce que je ne comprends pas, c'est comment Let's Encrypt vérifie que je suis bien le propriétaire du nom de domaine ?
C'est le rôle d'une autorité de certification. Pour les certificats EV (barre d'adresse verte) c'est complexe mais pour un certificat de base, il y a noralement au moins vérification que l'utilisateur est bien celui qui a enregistré le nom de domaine, via une simple vérification mail.
Pour mon certificat actuel avec une willcard, j'ai du envoyer à StartCom un scan de ma pièce d'identité + passeport + facture de téléphone et répondre à un appel téléphonique où on me pose quelques questions comme ma date de naissance.
Si j'ai un fichier de configuration avec le nom de domaine microsoft.fr, Let's Encrypt m’envoie automatiquement le certificat pour le domaine microsoft.fr, sous réserve que j'arrive à faire pointer le DNS sur mon serveur ?
-
simple, si tu as la main sur le serveur et que tu as redirigé le domaine sur ton IP, c'est que tu as légitimité à faire un certificat :)
-
Si j'ai un fichier de configuration avec le nom de domaine microsoft.fr, Let's Encrypt m’envoie automatiquement le certificat pour le domaine microsoft.fr, sous réserve que j'arrive à faire pointer le DNS sur mon serveur ?
Tout à fait, mais bon courage :)
-
Pour la NSA, je ne pense pas que ce soit problématique....
Il faudrait plus sécuriser l'infra DNS.
-
Oui enfin générer des certificats signés par une autiorité quequonque non plus je pense. ::)
-
D'autant que la NSA dispose sûrement d'une autorité de confiance connue des navigateurs (au même titre que l'ANSSI, cf. l'épisode "Un certificat de l'ANSSI utilisé pour des attaques MITM sur les services Google (https://lafibre.info/cryptographie/lanssi-aurait-effectue-des-attaques-mitm-sur-les-services-google/)").
-
Si j'ai un fichier de configuration avec le nom de domaine microsoft.fr, Let's Encrypt m’envoie automatiquement le certificat pour le domaine microsoft.fr, sous réserve que j'arrive à faire pointer le DNS sur mon serveur ?
oui mais "pointer" de leur coté (leur résolution DNS a eux donc) donc pas simple à faire...
-
Voici la découverte: https://www.nextinpact.com/news/101540-mozilla-veut-bannir-deux-autorites-ayant-antidate-leurs-certificats-sha-1.htm
Allo la Terre?
On accepte une autorité CHINOISE? Donc on accepte un pays totalitaire, où on peut être arrêté pour un blog et même pour une opération de vente d'actions?
Un pays qui filtre et bloque l'accès au net?
Ils sont fous chez Mozilla!
-
Les tutoriels sont toujours très simples.
Ce que je ne comprends pas, c'est comment Let's Encrypt vérifie que je suis bien le propriétaire du nom de domaine ?
Comme la plupart des certificats DV, c'est assez léger!
Enfin si c'est clairement documenté, on ne peut pas venir se plaindre des années après la publication des procédures que c'est trop léger! On accepte ou pas à la lecture de la documentation fournie de considérer l'intégration d'un certificat racine. Je crois l'avoir déjà dit!
J'en ai assez des gens qui font semblant de ne pas avoir été averti de la qualité du produit, quand l'information était facilement accessible depuis des années (pareil pour les vaccins, pareil pour le GIEC).
C'est le rôle d'une autorité de certification. Pour les certificats EV (barre d'adresse verte) c'est complexe mais pour un certificat de base, il y a noralement au moins vérification que l'utilisateur est bien celui qui a enregistré le nom de domaine, via une simple vérification mail.
Pour mon certificat actuel avec une willcard, j'ai du envoyer à StartCom un scan de ma pièce d'identité + passeport + facture de téléphone et répondre à un appel téléphonique où on me pose quelques questions comme ma date de naissance.
Mais c'est une demande parfaitement arbitraire d'une société qui a fixé un niveau de sécurité supérieur quand le risque d'abus (évalué par eux) est supérieur (ex. mabanque.lafibre.fr, google.lafibre.fr, etc.).
Autrement dit, au delà des strictes obligations réglementaires, des gérants de sociétés peuvent soit penser qu'ils ont une rôle social pour préserver la sécurité des gens, au delà du strict rôle de TLS, en décourageant certaines tentative d’hameçonnage (s'il faut donner une identité réelle vérifiée pour monter une escroquerie c'est moins facile que s'il suffit de donner des coordonnées bancaires volées), ou bien ils peuvent penser qu'il vaut mieux que les utilisateurs des certificats et les clients pensent qu'ils pensent qu'ils doivent avoir un tel rôle social, ou bien penser qu'il faut que les gens le pensent, etc.
Si j'ai un fichier de configuration avec le nom de domaine microsoft.fr, Let's Encrypt m’envoie automatiquement le certificat pour le domaine microsoft.fr, sous réserve que j'arrive à faire pointer le DNS sur mon serveur ?
Ou pas, selon les listes noires implèmentées.
Tu auras plus de chance de récupérer banquefrançaisetrèsobscure.fr que google.fr même en piratant le registre.
-
D'autant que la NSA dispose sûrement d'une autorité de confiance connue des navigateurs (au même titre que l'ANSSI, cf. l'épisode "Un certificat de l'ANSSI utilisé pour des attaques MITM sur les services Google (https://lafibre.info/cryptographie/lanssi-aurait-effectue-des-attaques-mitm-sur-les-services-google/)").
Mais la dernière chose qu'une agence de renseignement est de laisser sa signature comme preuve indiscutable!
C'est un système d'honneur : les tiers de confiance sont contraints à se comporter correctement par honneur. Un tier de confiance, comme une banque, peut perdre sa crédibilité s'il fait n'importe quoi.
Certes dans le monde réel, critiquer une banque n'est pas aisé (surtout dans la patrie des droits de l'homme mais surtout des droits des monstres de la finance), et reprendre sur un site Web des informations déjà publiques sur un machin étatique quelconque pourrait valoir une arrestation, mais quelqu'un le fera; dans le monde globalisé, ces agitations nationales sont encore plus grotesque.
Certains tiers de confiance survivront s'ils sont suffisamment critiques et "too big to fail" et "too big to jail", mais il y a un risque qu'ils dépérissent à long terme s'ils font de la m.
-
oui mais "pointer" de leur coté (leur résolution DNS a eux donc) donc pas simple à faire...
Pour un quidam ce n'est pas simple, mais pour quelqu'un qui a la main sur des serveurs BGP importants, si, c'est assez facile.
Détectable mais facile.
-
Voilà, c'est acté :
Distrusting New WoSign and StartCom Certificates
Mozilla has discovered that a Certificate Authority (CA) called WoSign has had a number of technical and management failures. Most seriously, we discovered they were backdating SSL certificates in order to get around the deadline that CAs stop issuing SHA-1 SSL certificates by January 1, 2016. Additionally, Mozilla discovered that WoSign had acquired full ownership of another CA called StartCom and failed to disclose this, as required by Mozilla policy. The representatives of WoSign and StartCom denied and continued to deny both of these allegations until sufficient data was collected to demonstrate that both allegations were correct. The levels of deception demonstrated by representatives of the combined company have led to Mozilla’s decision to distrust future certificates chaining up to the currently-included WoSign and StartCom root certificates.
Specifically, Mozilla is taking the following actions:
Distrust certificates with a notBefore date after October 21, 2016 which chain up to the following affected roots. If additional back-dating is discovered (by any means) to circumvent this control, then Mozilla will immediately and permanently revoke trust in the affected roots.
(...)
Source : https://blog.mozilla.org/security/2016/10/24/distrusting-new-wosign-and-startcom-certificates/
COMMENTAIRE
Est-ce qu'il y a encore des gens qui croient à l'utilité des "audits" et autres fadaises de la "qualité"?
-
Conséquence du blacklistage sur les navigateurs, la société StartCom va cesser ses services d'Autorité de Confiance à partir de janvier prochain.
Reçu il y a quelques heures par mail :
Dear customer,
As you are surely aware, the browser makers distrusted StartCom around a year ago and therefore all the end entity certificates newly issued by StartCom are not trusted by default in browsers.
The browsers imposed some conditions in order for the certificates to be re-accepted. While StartCom believes that these conditions have been met, it appears there are still certain difficulties forthcoming. Considering this situation, the owners of StartCom have decided to terminate the company as a Certification Authority as mentioned in Startcom´s website.
StartCom will stop issuing new certificates starting from January 1st, 2018 and will provide only CRL and OCSP services for two more years.
StartCom would like to thank you for your support during this difficult time.
StartCom is contacting some other CAs to provide you with the certificates needed. In case you don´t want us to provide you an alternative, please, contact us at certmaster@startcomca.com
Please let us know if you need any further assistance with the transition process. We deeply apologize for any inconveniences that this may cause.
Best regards,
StartCom Certification Authority