Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

CERT-XMCO : Google propose de nouvelles améliorations pour l’écosystème SSL

décembre 2011 par CERT-XMCO

- Date : 01 Décembre 2011

- Gravité : Moyenne

- Description :

Alors que l’EFF proposait il y a peu d’améliorer l’écosystème SSL en proposant "Sovereign Keys" (voir CXA-2011-2009), c’est au tour du géant de la recherche Google de faire ses propositions.

Selon les observations de Google, le problème de confiance rencontré au sein de l’implémentation actuelle de l’écosystème SSL repose sur les PKI des très (trop) nombreuses autorités de certification, et sur le fait que chacune d’entre elles peut, si elle le souhaite et sans l’aval du propriétaire d’un site quelconque, émettre un certificat pour le site en question.

Afin de résoudre ce problème majeur, Google, un peu de la même manière que ce que propose l’EFF, a émis l’idée de mettre en place une autorité en charge de centraliser les traces d’émission de certificats. Ces "log" seraient ainsi mis à jour chaque fois qu’une autorité de certifications émet un certificat. Elle contiendrait entre autres le nom du site en question, le nom de l’autorité émettrice, et la date. Toutes ces informations seraient enfin signées afin de pouvoir être vérifiées dans le temps, sans pouvoir pour autant être altérées. Ce mécanisme permettrait ainsi au détenteur d’un nom de domaine d’être alerté rapidement de l’émission par un tiers d’un certificat correspondant à un domaine lui appartenant.

Parmi les réfractaires, les autorités de certifications ont évoqué leur point de vue. En effet, un reproche fait à cette solution est la divulgation de l’intégralité du carnet de clients de chacune des autorités de certifications existantes. De plus, la centralisation des données est également remise en cause. Cette dernière pourrait être pénalisante surtout si chaque internaute qui visite un site protégé par un certificat SSL doit vérifier le contenu de cet historique. Un tel trafic impliquerait beaucoup de bandes passantes et de puissance de calcul.

En effet, dans le schéma proposé par les deux chercheurs de Google, chaque internaute qui visiterait un site dont l’identité serait certifiée à l’aide d’un certificat devrait valider le certificat présenté par le site auprès de cette autorité centrale. Tout certificat ne pouvant être ainsi validé serait alors considéré comme invalide par le navigateur.

Reste le problème de l’acceptation de cette solution technique. Tout comme pour les projets "Convergence" ou encore "Sovereign Keys", la difficulté du projet proposé par Google reste principalement de réunir tous les acteurs de l’écosystème SSL, à commencer par les autorités de certifications, les développeurs de serveurs web et autres développeurs de navigateurs. Mais contrairement aux autres projets, celui de Google pourrait être celui qui nécessiterait le moins de modifications de l’écosystème actuel.

- Référence :

http://www.imperialviolet.org/2011/11/29/certtransparency.html

http://www.theregister.co.uk/2011/11/29/google_proposes_ssl_fix/

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2009

- Lien extranet XMCO :

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2082


Voir les articles précédents

    

Voir les articles suivants