Journal Le retrait des certificats racines de WoSign et StartCom est planifié par Mozilla

• # distrib

  Posté par freem le 31 août 2017 à 11:53. Évalué à 6. Dernière modification le 31 août 2017 à 11:55.

  

  Le rapport est faible avec la news, mais je viens de me poser la question: dans les paquets firefox proposés par les distribs (enfin, celles qui ne se contentent pas de «repackager une tarball après compilation» si vous voyez ce que je veux dire), les certificats acceptés par la MoFo sont installés via le paquet firefox, non?

  Si oui, ne serait-il pas plus pertinent d'avoir un ou plusieurs paquets séparés (de firefox ou n'importe quel autre browser) pour les certificats, un peu comme pour les fontes? Au fond, ce ne sont pas des données nécessaires techniquement au fonctionnement d'un navigateur, et ça permettrait à l'administrateur d'avoir un contrôle plus aisé de à qui faire confiance (plutôt que de devoir intervenir manuellement comme je suppose que c'est le cas autrement).

  Dans la même veine, quid des distrib type Debian qui ne sont pas orientées MàJ fréquentes? Me semble que FF à un passe-droit, mais justement, est-ce vraiment pertinent pour toutes les données?

  • [^] # Re: distrib

    Posté par gouttegd le 31 août 2017 à 13:16. Évalué à 10.

    

    Si oui, ne serait-il pas plus pertinent d'avoir un ou plusieurs paquets séparés pour les certificats

    C’est déjà le cas, au moins sur certaines distributions. Debian a un paquet ca-certificates contenant les certificats racines, de même que Slackware¹. Je ne serais pas étonné que d’autres distributions fassent la même chose.

    En pratique ce paquet ne contient pour l’instant que les certificats des racines reconnues par Mozilla, mais en théorie il pourrait contenir des certificats provenant d’autres sources (à une époque il contenait par exemple le certificat racine de CAcert).

    ça permettrait à l'administrateur d'avoir un contrôle plus aisé de à qui faire confiance

    C’est le but du paquet ca-certificates. Il installes les certificats non pas directement dans /etc/ssl/certs, mais dans /usr/share/ca-certificates, et il fournit l’outil update-ca-certificates(8) pour créer des liens symboliques dans /etc/ssl/certs (l’administrateur ayant la possibilité de « désactiver » les racines dont il ne veut pas dans /etc/ca-certificates.conf, et d’ajouter des racines supplémentaires dans /usr/local/share/ca-certificates).

    À noter tout de même que ce paquet n’est absolument pas utilisé par Firefox, qui utilise toujours ses propres certificats (directement inclus dans la bibliothèque libnssckbi.so), indépendamment du contenu de /etc/ssl/certs. C’est à ma connaissance une spécificité de la version GNU/Linux de Firefox, les versions Windows et OS X utilisent il me semble le magasin de certificats du système.

    On peut forcer Firefox à utiliser les certificats de /etc/ssl/certs en remplaçant sa bibliothèque libnssckbi.so par la bibliothèque libp11-kit.so du projet p11-glue.

    ---

    ¹ En fait Slackware ré-utilise directement le paquet de Debian, parce que ouais bon, Debian rules! (mais il ne faut pas le dire trop fort :D ).

    • [^] # Re: distrib

      Posté par eingousef le 31 août 2017 à 14:15. Évalué à 2.

      

      À noter tout de même que ce paquet n’est absolument pas utilisé par Firefox, qui utilise toujours ses propres certificats (directement inclus dans la bibliothèque libnssckbi.so), indépendamment du contenu de /etc/ssl/certs.

      Tu es sûr ? Il me semble (de mémoire) que quand je rajoute une CA dans /usr/local/share/ca-certificates et que je fais update-ca-certificates firefox/iceweasel reconnaît la nouvelle CA (mais si je rajoute la CA directement dans firefox elle n'est reconnue que par firefox).

      *splash!*

      • [^] # Re: distrib

        Posté par kna le 31 août 2017 à 15:16. Évalué à 3.

        

        D'autant que sous debian, les certificats du paquet ca-certificates proviennent de… mozilla !

        $ apt show ca-certificates
        [...]
        Description: certificats CA courants
         Ce paquet inclut les autorités de certifications livrées avec les
         navigateurs Mozilla afin de permettre aux applications basées sur SSL de
         vérifier l'authenticité des connexions SSL.
        [...]
        
        $ ls /usr/share/ca-certificates
        mozilla
        

      • [^] # Re: distrib

        Posté par gouttegd le 31 août 2017 à 16:45. Évalué à 3.

        

        Il me semble (de mémoire) que quand je rajoute une CA dans /usr/local/share/ca-certificates et que je fais update-ca-certificates firefox/iceweasel reconnaît la nouvelle CA

        Ce n’est définitivement pas le cas par défaut chez moi. Ça n’est le cas en pratique que parce que j’ai forcé Firefox à utiliser libp11-kit.so (qui va chercher les certificats dans /etc/ssl/certs) au lieu de sa propre bibliothèque libnssckbi.so (qui contient les certificats directement, ils sont inclus « en dur » à la compilation). Il suffit pour ça de supprimer libnssckbi.so et de la remplacer par un lien symbolique vers libp11-kit.so.

        Après peut-être que certaines distributions font ce remplacement d’office, je ne sais pas.

    • [^] # Re: distrib

      Posté par claudex le 31 août 2017 à 14:30. Évalué à 4.

      

      C’est à ma connaissance une spécificité de la version GNU/Linux de Firefox, les versions Windows et OS X utilisent il me semble le magasin de certificats du système.c

      Je croyais que c'était aussi le cas sous Windows et que c'était même l'origine de ce comportement pour ne pas dépendre des certificats acceptés par Microsoft.

      « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

      • [^] # Re: distrib

        Posté par Sébastien Le Ray le 31 août 2017 à 15:11. Évalué à 3.

        

        Je confirme c'est le cas sous Windows, pour Thunderbird également ce qui en fait une plaie sur ce point en entreprise…

        • [^] # Re: distrib

          Posté par gouttegd le 31 août 2017 à 16:12. Évalué à 2.

          

          Je croyais que c'était aussi le cas sous Windows

          J’étais persuadé que non, mais apparemment je me trompais. Autant pour moi.

          Effectivement il semble que Firefox utilise ses propres certificats quel que soit le système, pas seulement sous GNU/Linux.

          • [^] # Re: distrib

            Posté par tetaclac le 01 septembre 2017 à 15:44. Évalué à 4.

            

            Par défaut Firefox et Thunderbird utilisent leurs propres certificats.
            Dans About:config il y a la clé security.enterprise_roots.enabled à mettre à True pour utiliser les certificats de l'OS.

            • [^] # Re: distrib

              Posté par Sébastien Le Ray le 01 septembre 2017 à 22:02. Évalué à 2.

              

              Génial ça !
              Et hop un startup script crado pour l'appliquer à tout le parc :-)
              Merci

  • [^] # Re: distrib

    Posté par Maclag le 31 août 2017 à 13:39. Évalué à 4.

    

    Debian maintient un dépôt "update" pour ses versions stables, qui répond à la problématique des paquets qui ont absolument besoin d'être à jour.

    Mais il faut une justification solide pour y entrer:

    This suite will contain updates that satisfy one of the following criteria:

    • The update is urgent and not of a security nature. Security updates will continue to be pushed through the security archive. Examples include packages broken by the flow of time (c.f. spamassassin and the year 2010 problem) and fixes for bugs introduced by point releases.
    • The package in question is a data package and the data must be updated in a timely manner (e.g. tzdata).
    • Fixes to leaf packages that were broken by external changes (e.g. video downloading tools and tor).
    • Packages that need to be current to be useful (e.g. clamav).

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.