Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

CERT-XMCO : Google Chrome va prochainement arrêter de vérifier la validité des certificats SSL auprès des listes de révocation

février 2012 par CERT-XMCO

* Revocation checking and Chrome’s CRL

 Date : 08 Fevrier 2012

 Gravité : Moyenne

 Description : Google s’inquiète de la sécurité des internautes ainsi que de la réactivité de son navigateur.

Afin de progresser dans ces deux domaines, le géant de la recherche vient d’annoncer par la voix de l’un de ces employés / chercheurs qu’il allait arrêter incessamment sous peu de vérifier la validité des certificats SSL rencontrés sur Internet. Jusqu’ici, après avoir validé la chaine de confiance reliant un certificat SSL à une autorité de certification, le navigateur vérifiait auprès des listes de révocation publiées par les autorités de certifications si le certificat n’avait pas été révoqué. Pour cela, deux mécanismes coexistent : les CRL et le protocole OCSP.

La principale motivation de ce changement provient du fonctionnement même de ce type de vérification "online". En effet, étant donné que cette vérification est faite en ligne, il est nécessaire que le navigateur soit en mesure de la contourner si le serveur distant n’est pas accessible. Ce principe rend donc la mesure de sécurité complètement inefficace. Si un attaquant est ne mesure d’intercepter le trafic HTTPS, il en est de même pour la demande de validation du certificat SSL. Un attaquant doit donc simplement simuler l’indisponibilité d’un serveur de validation afin de contourner cette mesure de protection.

Malheureusement pour les Internautes, la mise en place de cette fonction a aussi un coût, tant en matière de vie privée qu’en matière de rapidité. En effet, lorsque le navigateur d’un internaute cherche à valider un certificat SSL, il informe l’autorité de certification émettrice du certificat du site visité de son adresse IP, ainsi que du site visité en question. Par ailleurs, cette vérification introduit une latence dans la navigation non négligeable (environ 300 ms pour une vérification faite via OSCP).

Ainsi pour remédier à ces deux problèmes majeurs, Google propose non plus de vérifier les listes de révocation en mode en ligne, mais d’intégrer ces listes au sein même du navigateur. Un point important rend cette solution envisageable : d’après les listes de révocation existante, la majorité des révocations de certificat est liée à des problèmes administratifs. En effet, ce type de révocation n’impacte pas la sécurité de l’internaute lorsque celui-ci navigue sur des sites protégés par SSL.

En optant pour cette nouvelle solution technique, Google espère donc améliorer l’expérience utilisateur de navigation sur Internet des utilisateurs de Chrome, tout en garantissant leur sécurité. Reste plus qu’à savoir si les autres fabricants de navigateurs opteront pour la mise en place d’une solution similaire.

 Référence :

http://www.imperialviolet.org/2012/02/05/crlsets.html

http://arstechnica.com/business/guides/2012/02/google-strips-chrome-of-ssl-revocation-checking.ars

 Lien extranet XMCO :

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0197


Voir les articles précédents

    

Voir les articles suivants