tag:linuxfr.org,2005:/tags/startssl/publicLinuxFr.org : les contenus étiquetés avec « startssl »2016-09-30T18:08:41+02:00/favicon.pngtag:linuxfr.org,2005:Diary/368712016-09-27T15:18:46+02:002016-10-16T17:03:03+02:00Qui traite des autorités SSL WoSign, Startcom et du peu de professionnalisme qui a causé leur perteLicence CC By‑SA http://creativecommons.org/licenses/by-sa/4.0/deed.fr<p>Chers lectrices, lecteurs, auditrices et auditeurs pour les éventuel(le)s aveugles et autres malvoyant(e)s qui utilisent un lecteur d’écran,<br>
<br>
<br>
<br>
Je souhaite aujourd’hui vous parler de <a href="https://docs.google.com/document/d/1C6BlmbeQfn4a9zydVi2UvjBGv6szuSB4sMYUcVrR8vQ/preview">ce que vient d’annoncer Mozilla</a> (en anglais et avec JavaScript, <em>cookies</em> et tout le bataclan, disponible ici en <a href="https://img.sauf.ca/pictures/2016-09-26/331148e2d57ee669caecf59f064b7e9e.pdf">PDF</a> ou en <a href="https://img.sauf.ca/pictures/2016-09-26/331148e2d57ee669caecf59f064b7e9e.png">PNG</a> pour les réfractaires à l’<em>overkill</em>) au sujet de Starcom et WoSign.</p>
<p> </p>
<p><img src="//img.linuxfr.org/img/68747470733a2f2f75706c6f61642e77696b696d656469612e6f72672f77696b6970656469612f636f6d6d6f6e732f7468756d622f652f65332f417374657269736d652e7376672f323470782d417374657269736d652e7376672e706e67/24px-Asterisme.svg.png" alt="***" title="Source : https://upload.wikimedia.org/wikipedia/commons/thumb/e/e3/Asterisme.svg/24px-Asterisme.svg.png"></p>
<p> </p>
<p>Pour ceux qui ignoreraient l’identité de ces deux organismes, Startcom est une autorité de certification SSL, pendant longtemps elle a été la seule à délivrer des certificats gratuits. Malgré une interface assez absconse, voire imbitable, c’était bien pratique de pouvoir obtenir gratuitement des certificats SSL pour les projets perso.</p>
<p>WoSign est une autre autorité, plus récente, qui elle aussi propose des certificats gratuits, avec moins de restrictions puisqu’à une époque on pouvait demander des certificats avec une centaine de domaines et valides trois ans. En revanche, outre le fait qu’elle soit basée en Chine (ce qui peut faire peur à certains quand il s’agit de sécurité, mais en réalité lorsqu’on génère une CSR soi‐même, il n’y a pas de risque particulier), elle a commis un certain nombre d’erreurs ces derniers temps, en particulier la <a href="https://www.schrauger.com/the-story-of-how-wosign-gave-me-an-ssl-certificate-for-github-com">délivrance de certificats sans vérifier correctement le contrôle des domaines associés</a> (ici, des certificats valides pour <code>github.com</code> délivrés gratuitement à n’importe quel particulier !).</p>
<p>Jusqu’à l’apparition récente de <em>Let’s Encrypt</em>, ces deux autorités étaient les seules proposant des certificats gratuits. Aujourd’hui encore (mais pas pour longtemps !), elles restent le seul moyen d’obtenir un certificat gratuit pour un nom de domaine contenant des accents (comme <a href="https://up.%C3%BF.fr">https://up.ÿ.fr</a>).</p>
<p> </p>
<p><img src="//img.linuxfr.org/img/68747470733a2f2f75706c6f61642e77696b696d656469612e6f72672f77696b6970656469612f636f6d6d6f6e732f7468756d622f652f65332f417374657269736d652e7376672f323470782d417374657269736d652e7376672e706e67/24px-Asterisme.svg.png" alt="***" title="Source : https://upload.wikimedia.org/wikipedia/commons/thumb/e/e3/Asterisme.svg/24px-Asterisme.svg.png"></p>
<p> </p>
<p>Bref, toujours est-il que WoSign a fait une série de grossières erreurs, certainement en se croyant à l’abri de répercussions, ou par simple bêtise. En particulier :</p>
<ul>
<li>à partir de janvier 2016, après que les certificats SHA-1 <a href="https://groups.google.com/a/chromium.org/forum/#!msg/blink-dev/2-R4XziFc7A/YO0ZSrX_X4wJ">aient été</a> <a href="https://blog.mozilla.org/security/2015/10/20/continuing-to-phase-out-sha-1-certificates/">dépréciés</a>, WoSign a continué à délivrer des certificats SHA-1 antidatés pour que les navigateurs continuent à les accepter ;</li>
<li>en juin 2015, un utilisateur a pu obtenir des certificats SSL pour GitHub et même après avoir été mis au courant, WoSign n’a pas révoqué automatiquement tous les certificats délivrés à tort ;</li>
<li>fin 2015, WoSign a acheté Startcom, sans le rendre public et, pire, en le niant après que la question ait été posée ;</li>
<li>et tout un tas d’autres problèmes listés ici par Mozilla : <a href="https://wiki.mozilla.org/CA:WoSign_Issues">https://wiki.mozilla.org/CA:WoSign_Issues</a> .</li>
<li>la suggestion de WoSign a été de demander à Mozilla de continuer à faire confiance à ses certificats seulement en Chine (où WoSign a quelque chose comme 50 % de parts de marché)</li>
</ul><p> </p>
<p><img src="//img.linuxfr.org/img/68747470733a2f2f75706c6f61642e77696b696d656469612e6f72672f77696b6970656469612f636f6d6d6f6e732f7468756d622f652f65332f417374657269736d652e7376672f323470782d417374657269736d652e7376672e706e67/24px-Asterisme.svg.png" alt="***" title="Source : https://upload.wikimedia.org/wikipedia/commons/thumb/e/e3/Asterisme.svg/24px-Asterisme.svg.png"></p>
<p> </p>
<p>La conclusion de Mozilla, qui sera vraisemblablement suivie aussi par Google et Microsoft, et, espérons‐le, par Apple est donc de ne plus accepter les certificats émis par WoSign et Startcom à partir d’une certaine date (pas tout de suite, mais dans le futur proche), tout en continuant à considérer valides les certificats déjà émis. Au minimum un an plus tard, WoSign serait autorisé à repasser le processus d’autorisation pour redevenir une autorité de confiance. À côté de ça, Mozilla ne considérera plus les audits de la branche Hong‐Kong de Ernst & Young comme valables (ce qui n’est pas anodin, Ernst & Young étant parmi les plus grosses boîtes d’audit du monde).</p>
<p> </p>
<p><img src="//img.linuxfr.org/img/68747470733a2f2f75706c6f61642e77696b696d656469612e6f72672f77696b6970656469612f636f6d6d6f6e732f7468756d622f652f65332f417374657269736d652e7376672f323470782d417374657269736d652e7376672e706e67/24px-Asterisme.svg.png" alt="***" title="Source : https://upload.wikimedia.org/wikipedia/commons/thumb/e/e3/Asterisme.svg/24px-Asterisme.svg.png"></p>
<p> </p>
<p>Somme toute, ça me semble être une solution plutôt intelligente, puisqu’elle ne pénalise que l’autorité véreuse elle‐même et non ses utilisateurs, qui sont innocents dans cette histoire.</p>
<p>Et pour finir, si jamais vous prévoyez de demander un certificat gratuit pour un nom de domaine avec des accents, je vous conseille de le faire immédiatement <a href="https://buy.wosign.com/free/">chez WoSign</a> tant que Mozilla n’a pas encore mis sa décision en application. Même si WoSign n’est pas une autorité respectable pour beaucoup de raisons, un certificat délivré par eux a la même utilité et offre la même sécurité qu’un certificat délivré par n’importe quelle autre autorité (tant que vous générez votre CSR de votre côté). Sinon, il ne vous restera qu’à attendre que <em>Let’s Encrypt</em> les supporte : théoriquement <a href="https://letsencrypt.org/upcoming-features/">avant novembre 2016</a>, mais rien n’est garanti (d’autant plus qu’à ma connaissance, les détails d’implémentation n’ont toujours pas été définis).</p>
<p>En ce qui me concerne, j’attends aussi le support des certificats pour le <code>.onion</code>, les services cachés de Tor, mais j’ai bien peur que ça n’arrive nulle part prochainement.</p>
<p> <br>
<br>
</p>
<p><img src="//img.linuxfr.org/img/68747470733a2f2f75706c6f61642e77696b696d656469612e6f72672f77696b6970656469612f636f6d6d6f6e732f7468756d622f642f64652f4465636f5f706167352e7376672f31353070782d4465636f5f706167352e7376672e706e67/150px-Deco_pag5.svg.png" alt="~~~" title="Source : https://upload.wikimedia.org/wikipedia/commons/thumb/d/de/Deco_pag5.svg/150px-Deco_pag5.svg.png"></p><div><a href="https://linuxfr.org/users/see/journaux/qui-traite-des-autorites-ssl-wosign-startcom-et-du-peu-de-professionnalisme-qui-a-cause-leur-perte.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/110139/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/users/see/journaux/qui-traite-des-autorites-ssl-wosign-startcom-et-du-peu-de-professionnalisme-qui-a-cause-leur-perte#comments">ouvrir dans le navigateur</a>
</p>
못 옷 홋 ♨https://linuxfr.org/nodes/110139/comments.atomtag:linuxfr.org,2005:Diary/366702016-06-18T19:21:39+02:002016-06-19T19:50:55+02:00Petites news dans le monde des autorités de certifications<h3 id="problème-de-sécurité-chez-letsencrypt">Problème de sécurité chez letsencrypt</h3>
<p>En début de semaine, mauvaise nouvelle chez Letsencrypt… Ils ont laissé fuiter 7 618 adresses mails de leurs utilisateurs (pas plus, pas moins). Soit 2,0% de leurs clients (et non 1,9% comme le montre leur annonce !). C'est le premier incident de sécurité dont j'ai entendu parler pour Letsencrypt, mais leur site communautaire montre qu'il y en a eu d'autres.<br><a href="https://community.letsencrypt.org/t/email-address-disclosures-june-11-2016/17025">https://community.letsencrypt.org/t/email-address-disclosures-june-11-2016/17025</a></p>
<h3 id="nouveau-nom-du-client-letsencrypt">Nouveau nom du client letsencrypt</h3>
<p>Le client letsencrypt se nomme dorénavant, certbot. L'objectif est de laisse plus de places aux clients alternatifs.<br>
C'est aussi l'occasion de lui créer un site dédié qui donne toutes les informations dont on pourrait avoir besoin.<br>
Notez par contre (je crois que c'était aussi le cas de <code>letsencrypt</code>) le client est en version beta.</p>
<p><a href="https://certbot.eff.org/">https://certbot.eff.org/</a></p>
<h3 id="startcom-se-rebiffe">StartCom se rebiffe !</h3>
<p>StartCom, la société derrière StartSSL, vient de lancer StartEncrypt. L'objectif numéro un, c'est de simplifier la création et mise à jour de vos certificats de la même manière que le fait letsencrypt. Plus que l'intérêt ou non de leur service, c'est le fait qu'ils réagissent à l'arrivée de letsencrypt que je trouve super ! Si letsencrypt donne un petit coup de jeune aux autorité et ça relance une forme de concurrence, ce sera génial.</p>
<p><a href="https://startssl.com/StartEncrypt">https://startssl.com/StartEncrypt</a></p>
<p>Le contenu de ce journal est sous licence CC0.</p><div><a href="https://linuxfr.org/users/barmic/journaux/petites-news-dans-le-monde-des-autorites-de-certifications.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/109284/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/users/barmic/journaux/petites-news-dans-le-monde-des-autorites-de-certifications#comments">ouvrir dans le navigateur</a>
</p>
barmichttps://linuxfr.org/nodes/109284/comments.atom