Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

CERT-XMCO : Mozilla prend des mesures à l’encontre des autorités de certification ayant émis des certificats d’autorités subordonnées

février 2012 par CERT-XMCO

- Date : 21 Février 2012

- Programme : Mozilla

- Criticité : Élevée

- Description :
À la suite de l’affaire Trustwave (voir CXA-2012-0200), la Fondation Mozilla a envoyé le 17 février dernier un courriel aux autorités de certification racine enrôlées au sein du trousseau de clefs fourni avec ses logiciels.

Dans ce document intitulé "Mozilla Communication : Action requested by March 2, 2012", la fondation demande à ce que des mesures soient prises à l’encontre des certificats d’autorités racines subalternes émis pour leurs clients. Pour être clair, Mozilla demande à ce que ces certificats soient tout simplement identifiés et révoqués, afin d’empêcher les sociétés (ou les états) de mener des attaques de type MITM sur leurs employés et ainsi d’accéder au contenu de leur échange. Mozilla demande de plus à ce que tous les équipements de type HSM associés à ce type de certificats soient détruits d’ici au 27 avril prochain.

Dans tous les cas, Mozilla attend un retour de la part des autorités de certifications sous peine de supprimer l’ensemble des certificats racines présents dans ses logiciels.

Mozilla est le premier éditeur de logiciels reposant massivement sur l’écosystème SSL à faire un pas dans ce sens, afin de garantir aux internautes le niveau de sécurité le plus important. Pour cela, la transparence semble de mise. Les autres éditeurs tels que Microsoft ou encore Google devraient cependant gagner eux aussi à cette action initiée par la fondation par effet de bord. En effet, si le comportement de certaines autorités de certification venait à être identifié comme douteux d’après ce processus, il y a peu de doute quant au devenir de ces sociétés, qui pourrait alors être contraint de fermer leur porte tout comme cela avait été le cas pour DigiNotar.

- Référence :
https://wiki.mozilla.org/CA%3ACommunications#February_17.2C_2012

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0200

- Lien extranet XMCO :
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0265


Voir les articles précédents

    

Voir les articles suivants