Forum général.général Firefox 3 : contexte de sécurité

Posté par .
Tags : aucun
2
3
oct.
2008
Salut,

lors d'une connection SSL, Fireofx 3 affiche une petite fenêtre sur le contexte de sécurité.

On y trouve (par exemple) :

Vous vous trouvez sur
linuxfr.org
dont le détenteur est
(inconnu)
Vous avez ajouté une exception de sécurité pour ce site

Quelques soient les sites que j'ai essayés, mêmes les plus connus des sites marchands, Firefox affiche toujours un 'dont le détenteur est (inconnu)'... Moyennement rassurant.

D'où ma question : mais où donc dans le certificat Firefox3 s'attend-il à trouver l'information du 'détenteur', information qu'apparement il ne trouve jamais ???
  • # Trois niveaux de validation

    Posté par . Évalué à 4.

    Rien, bleu, vert.

    essaye https://www.paypal.com pour avoir un détenteur validé :-)

    Le niveau "bleu" signifie que le certificat correspond bien au site, c'est à dire qu'il est signé par une autorité de confiance (à moins d'une exception).
    Le niveau "vert" vérifie en plus que le site appartient bien à la société en question. Ça fait des vérifications en plus lors de l'établissement du certificat je crois.
  • # Certificats EV

    Posté par . Évalué à 6.

    C'est lié -il me semble- au support d'un nouveau type de certificat vendu -vachement plus cher- par les autorités de certification depuis 2006 ou 2007, certificat dit "EV" (pour Extended Validation) :

    [fr] http://support.mozilla.com/fr/kb/Bouton%20d%27identit%C3%A9%(...)

    [en] http://www.dria.org/wordpress/archives/2008/05/06/635/

    (voir par exemple le site d'un fournisseur de certificat comme Verisign, et cliquer sur "acheter" pour voir la modification dans la barre d'adresse : elle devient verte et le détenteur est connu)

    Les autorités de certification font des contrôles plus poussés sur l'identité de l'entreprise qui achète ce type de certificat. Enfin, c'est qu'un commercial avait essayé de nous vendre. Il y a théoriquement plus de garanti sur l'identité du propriétaire du site.

    Ça fait des années qu'on utilise les certificats sans EV, et ça reste sûr : il faut bien comprendre une chose : dès qu'un site offre un chiffrement SSL, même avec un certificat auto-signé, les communications entre le client et le serveur sont chiffrées de manière aussi solide qu'avec un certificat signé par une CA "reconnue".
    Après, il faut savoir si on fait confiance au site lui-même (quand on a besoin de donner son numéro de CB, par exemple), et c'est à ça qu'une CA sert (c'est le tiers de confiance, qui a vérifié l'identité du propriétaire du site : le certificat "EV" rajoute une couche de vérification ; comme je l'ai dit au commercial qui était venu nous voir pour nous vendre ça : "ça veut dire qu'avant, vous ne faisiez pas sérieusement les vérifications pour délivrer un certificat ?" ;-)

    Le but de ces certificats EV, c'est en parti pour combattre plus efficacement le phishing. Je ne sais pas si ça l'est vraiment. Néanmoins, ça permet de vendre plus cher un pauvre fichier de 2 Ko...

    --
    Unk
    • [^] # Re: Certificats EV

      Posté par . Évalué à 2.

      Merci à tous deux, j'ai ma réponse.

      Et en effet les certificats EV sont 4 à 5 fois plus chers que les certificats normaux...
    • [^] # Re: Certificats EV

      Posté par (page perso) . Évalué à 4.

      ça veut dire qu'avant, vous ne faisiez pas sérieusement les vérifications pour délivrer un certificat ?

      C'est sûr que dit comme ça... En fait les autorités de certifications s'engagent à délivrer les certificats selon une politique de certification. C'est un document qui spécifie comment les certificats sont produits et délivrés. Par exemple dans ce document on peut trouver des informations sur la protection de la clé de l'AC (dans une salle sécurisé, avec caméras, contrôles biométriques, sur une machine offline avec du matériel crypto dédié, etc), sur les vérifications faites concernant l'acheteur du certificat (demander un extrait de K-bis, s'assurer auprès de l'Afnic qu'il possède bien le nom de domaine machin.fr, etc) ou encore sur les données contenues dans le certificat émis (Liste des extensions x509, etc).

      Depuis belle lurette les AC proposent des niveau de certifications différents. Plus la politique de certification est restrictive, plus on "engrange" de confiance dans le certificat (en théorie) et bien sûr plus l'émission du certificat est chère.

      Pour les certificats EV, les autorités de certification et les fournisseurs de navigateurs web se sont regroupés dans un consortium, le CA/Browser Forum, afin de rédiger en commun des "bonnes pratiques" pour l'émission et la gestion des certificats EV.

      D'un point de vue technique comment les choses se passent-elles ? Chaque AC a défini un OID (un identifiant unique) pour sa politique de certification des certificats EV (par exemple 2.16.840.1.113733.1.7.23.6 est l'OID de la politique de certification EV chez Verisign). Ensuite les certificats EV doivent contenir l'extension x509 Certificate Policies avec l'OID de la politique EV afin que les navigateurs web puissent les reconnaître. Il y a d'autres contraintes sur les certificats, elles sont décrites ici : http://cabforum.org/EV_Certificate_Guidelines_V11.pdf
    • [^] # Re: Certificats EV

      Posté par (page perso) . Évalué à 4.

      dès qu'un site offre un chiffrement SSL, même avec un certificat auto-signé, les communications entre le client et le serveur sont chiffrées de manière aussi solide qu'avec un certificat signé par une CA "reconnue".

      Hum.
      Avec un certificat auto-signé, la communication entre le client et quelqu'un sont chiffrées de manière aussi solide qu'avec un certificat signé par une CA "reconnue".
      Avec un certificat auto-signé, tu n'as aucune garantie que le quelqu'un est bien le serveur auquel tu veux accéder (un petit fichier host sur ta machine, et hop tu communique avec quelqu'un d'autre...).

      Dire que c'est aussi sûr avec un certificat auto-signé est de la désinformation : ça ne l'est pas. Tu as certes crypté ta communication, mais tu ne sais absolument pas avec qui tu parles (Man in the middle...)

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.