Journal Microsoft vs Google

Posté par . Licence CC by-sa
Tags : aucun
-2
7
jan.
2013

Ce matin le Windows 7 de mon boulot avait une mise à jour à installer. Jusque là rien d'exceptionnel. Par curiosité j'ai été voir à quoi correspondait cette mise à jour « de sécurité ».

Et là ça me semble assez bizarre :

Microsoft has released a Microsoft security advisory about this issue for IT professionals. This update is released for all supported versions of Microsoft Windows. This update revokes the trust of the following certificates by putting them in the Microsoft Untrusted Certificate Store:

*.google.com issued by *.EGO.GOV.TR
e-islem.kktcmerkezbankasi.org issued by TURKTRUST Elektronik Sunucu Sertifikasi Hizmetleri
*.EGO.GOV.TR issued by TURKTRUST Elektronik Sunucu Sertifikasi Hizmetleri

http://support.microsoft.com/kb/2798897

Sont-ce tous les certificats de Google qui vont être révoqués ou bien seulement certains, ceux émis par EGO.GOV.TR (selon la troisième ligne) ?

S'agit-il d'un tirage dans les pattes en règle ou bien est-ce tout à fait normal et je mérite un moinssage standard pour ce journal inepte et chiant comme la pluie qui avait sa place sur le forum ?

  • # Problème du côté de la Turquie

    Posté par . Évalué à  10 . Dernière modification : le 07/01/13 à 09:42

    • [^] # Re: Problème du côté de la Turquie

      Posté par (page perso) . Évalué à  10 .

      Et il y a des commentaires intéressants ici : https://lwn.net/Articles/531346/

      Est-ce qu'on doit "punir" les autorités de certifications qui sont manifestement incompétentes en révoquant tous leurs certificats ? Si on fait ça est-ce qu'il n'y a pas un risque que ces CAs tentent de cacher les futurs problèmes au lieu de les admettre ? Si on ne les punis pas est-ce qu'il n'y a pas un risque qu'ils continuent à se foutre de la sécurité ?
      Des questions difficiles.

      • [^] # Re: Problème du côté de la Turquie

        Posté par . Évalué à  4 .

        Est-ce qu'on doit "punir" les autorités de certifications qui sont manifestement incompétentes en révoquant tous leurs certificats ?

        Ça me semble le jeu des certificats. Tout est basé sur la confiance en une CA. Si confiance il n'y a plus, révocation il y a.

        Quant aux risques qu'aurait une CA à cacher des problèmes. L'organisme qui a intégré les certificats des CA pourrait très bien demander des comptes.

    • [^] # Re: Problème du côté de la Turquie

      Posté par (page perso) . Évalué à  2 .

      Oui, mais bon, voir la coopération entre google et microsoft, ça étonne tellement les gens qu'on se dit que c'est pas possible :)

  • # *.google.com issued by *.EGO.GOV.TR

    Posté par (page perso) . Évalué à  10 .

    Moi je le comprends comme une révocation uniquement des certificats *google.com émis par *.EGO.GOV.TR, probablement utilisés par une société tierce (un FAI ?) pour «détourner» le trafic Google vers un proxy filtrant. Non ?

    Enfin si c'est le cas, perso j'ai viré carrément «*.EGO.GOV.TR» qui n'aurait jamais du fournir un tel certificat.

    alf.life

    • [^] # Re: *.google.com issued by *.EGO.GOV.TR

      Posté par (page perso) . Évalué à  5 .

      Enfin si c'est le cas, perso j'ai viré carrément «*.EGO.GOV.TR» qui n'aurait jamais du fournir un tel certificat.

      Par default nous ne devrions pas viré mais seulement ajouter les tiers aux quels nous faisons confiance.

  • # Monitoring sous Linux

    Posté par (page perso) . Évalué à  4 .

    Bonjour,
    sous Linux, est-ce qu'il y existe des moyens de surveillance quand à l'autorité de certification qui est utilisé pour valider tel ou tel site ? L'idée étant de vérifier que lorsque qu'une application demander à vérifier un certificat, l'on puisse savoir quelle CA a été utilisé.

    En effet, si c'est un ".gouv." quelconque qui signe un certificat de type google (ou LinuxFr !), on peut avoir quelques doutes…

    L'idée serait d'avoir une telle vérification sous forme d'un fichier de log, un peu plus pratique que la consultation des informations de sécurité qui apparaissent dans les navigateurs

    Enfin, comment savoir si l'autorité de certification utilisé vient d'une liste intégré au navigateur (firefox, chrome, …) ou du système (sous Linux, des centaines de CA apparaissent dans /usr/share/ca-certificates/ /etc/ssl/certs/ ).

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.