Tag Archives: SSL

Norme RGS et l’incroyable lenteur de Autorités de Certifications françaises.

Cela faisait probablement 3 ans que je n’avais rien écrit sur ce blog par manque de temps. En effet, depuis mon dernier post, bien des choses ont changé dans mon univers: SSL247 est désormais le leader européen dans le consulting et la vente de solutions de sécurité en ligne, nous somme passés de 20 salariés à 50, et vendons désormais sur 12 pays en Europe et en Amérique du Sud.

Ce post est un coup de gueule contre la norme RGS et un triste constat de l’évolution des CA françaises. Alors qu’elles avaient des boulevards pour concurrencer les géants étrangers, il semble que ces CA n’en sont encore qu’aux prémices de leur développement, et n’ont pas su prendre des virages importants au bon moment.

Leur potentiel de développement était énorme et ce pour plusieurs raisons:

– Plusieurs de ces CA sont nées il y a désormais plus de 10 ans, et ont donc une compatibilité avec les OS/navigateurs existants tout à fait acceptable. C’est la condition sine que non au développement d’une CA au niveau mondial.

– La plupart des CA françaises sont soit subventionnées d’une manière ou d’une autre, soit leurs actionnaires sont des très grands groupes du CAC 40. Leurs finances étaient donc (au moins au départ) solides.

– Les connaissances techniques des salariés de ces entreprises sont d’un très haut niveau pour la plupart avec des professionnels de l’informatique des systèmes et de la cryptographie.

– L’état français a offert à ces entreprises un niveau de confort incroyable en mettant en place une *norme franco-française* appelée RGS qui permet *quasi-uniquement* aux CA françaises de sécuriser les réseaux et sites web des administrations et du secteur public français en général.

Que s’est-il passé?

– Malgré des sites internet de vente en ligne et des *bureaux* aux 4 coins du monde pour certaines d’entre elles, le déploiement des certificats SSL et d’identification personnels de ces CA sont encore anecdotiques. En effet, les moyens techniques déployés sont largement insuffisants: pas toujours d’espaces/portail de gestion pour les clients, pas de possibilités de revente des certificats de manière simple pour les revendeurs, encore une gestion papier/fax/email/excel/CRM pour la plupart d’entre elles.

– Ces entreprises de très haut niveau technique ont oublié d’être des entreprises commerciales. Nous le voyons tous les jours chez SSL247, il y a une différence d’approche incroyable entre les CA nord-américaines (Symantec, Comodo, Digicert) et japonaises (GlobalSign) et les CA européennes inexistantes sur les cartographies mondiales alors qu’elles avaient des atouts superbes! Toutes ces CA françaises expliquent des partenariats technologiques avec des grands groupes, mais la vente de leurs solutions soit en direct soit par leur réseaux de revendeurs, qu’en est-il?

– La norme RGS a rendu les CA françaises flemmardes. Les appels entrants de toutes les administrations françaises demandant des certificats RGS, personnels ou SSL ont laissé les CA dans une position d’attente et de simple prise de commande. Pas réellement de développement, sans une prise de conscience que ces commandes tombées du ciel grâce à un accès de protectionnisme auraient du être utilisées comme levier de croissance et non considérées comme un but ultime.

– Toujours pas d’API disponibles pour les revendeurs français ou internationaux, toujours pas de certificats DV, toujours pas de livraisons simples de certificats RGS 2* pour tous les gens qui doivent déposer leurs réponses aux appels d’offres en ligne. On parle de simplification de la vie des entreprises françaises, cette norme RGS est encore une dose de complexification des lourdeurs administratives.

Malgré tous nos efforts techniques et commerciaux pour répondre à nos clients sur les offres de certificats RGS en tout genre, nous nous trouvons dans l’incapacité de proposer ces certificats dans les mêmes conditions/standards qu’avec nos partenaires étrangers. Etant français et directeur d’une SARL à Lille, cela me désole de ne pas pouvoir travailler convenablement avec des fournisseurs français sérieux et au point, mais SSL247 ne peut pas baisser la qualité de ses prestations à laquelle ses clients sont habitués. C’est aux CA françaises de se réveiller et de sortir de leur torpeur.

Advertisements

C’est quoi un certificat SSL?

La question la plus commune que l’on pose aux gens lors de rencontres est: “tu fais quoi dans la vie?” En effet, c’est un sujet bateau, et en général tout le monde est assez content de parler de sa vie professionnelle. Pour certains, c’est relativement simple et clair: médecin, prof, vendeur, militaire, pompier… Pour d’autres, l’explication est légèrement plus compliquée: “je travaille dans la revente de certificats SSL”. Et là s’en suit l’inévitable question “c’est quoi un certificat SSL?…”

Pour y répondre, je vous laisse découvrir une vidéo toute simple et facile à comprendre qui je l’éspère vous éclairera un peu sur mon travail…

SSL: DigiNotar, une nouvelle CA corrompue

Alors que Comodo a émis en début d’année des certificats SSL frauduleux pour des grands noms de domaines comprenant live.com ou encore google.com (cf article ici), c’est au tour d’une nouvelle autorité de certification (CA) néerlandaise DigiNotar d’annoncer en cette fin de mois d’août qu’elle a du révoquer en panique près de 300 certificats SSL qui avaient été émis pour des noms de domaines préstigieux dont google.com.

Un certificat Wildcard de type *.google.com a été émis via cette CA. Il a fallu à DigiNotar plus d’un mois pour se rendre compte de la bévue et la révoquer en date du 28 août alors que le 19 juillet ils pensaient avoir révoquer tous les certificats qui avaient échappé à leur vigilance. Il semblerait qu’une fois encore cette attaque de système d’émission provienne d’Iran et permettrait essentiellement d’intercepter des emails d’iraniens pour le compte du régime.

Toutes les CA’s sont désormais des cibles privilégiées des hackers de tous bords, et elles doivent tout mettre en oeuvre pour combattre tout type d’intrusion dans leurs systèmes d’émission. Il est clair que la menace est grande de voir d’autres CAs émettre des certificats SSL frauduleux dans le futur. Cependant, les CA les plus reconnues et puissantes comme le groupe Symantec (VeriSign, Thawte ou GeoTrust) ou GlobalSign, CA revendues par SSL247 et choisies pour leur sérieux, n’ont pas émis de faux certificats et ne sont pour le moment absolument pas concernées par les soucis qu’ont pu connaître ces CAs aux standard d’émissions plus légers et aux contrôles moins poussés.

Pour éviter ces problèmes à l’avenir, le choix des CAs pour le client est évidemment d’une importance capitale. En effet, le prix rentre très souvent dans les décisions des acheteurs. Cependant, la sécurité et l’intégrité des systèmes d’émissions et de contrôle ont un coût et il va de soi que ce seul facteur prix entrant dans un schéma décisionnel ne permet pas l’optimisation de l’inviolabilité d’un système qui fonctionne par ailleurs très bien. Pour faire un parallèle simple, la crise de la vache folle et donc la qualité de la viande bovine a été mise en peril pour faute de coûts tirés vers le bas en nourrissant le bétail de farines animales. Depuis ce drame, les autorités ont réagi et mis en place des standards de production plus drastiques. Qu’attend-on pour faire le ménage dans les petites CA tirant les prix vers le bas et du coup dépassées par les hackers travaillant pour les forces obscures…

ComodoGate – Certificats SSL Corrompus

Posted on

Les certificats Comodo bannis des principaux navigateurs internet ? Ce n’est peut être plus si éloigné de la réalité. En effet, encore une fois, l’autorité de certification Comodo fait parler d’elle après l’émission de la part de l’un de ses revendeurs (GlobalTrust en Italie) de vrais faux certificats SSL pour des noms de domaines d’une importance majeure comme login.skype.comlive.com de Microsoft, google.com, ou encore mozilla.org !

SSL247 a plusieurs fois été approchée par cette autorité de certification pour la revente de leurs solutions. Nous avons toujours été très clairs : nous ne vendons pas de certificats SSL d’une autorité de certification qui n’est pas cotée en bourse, et qui montre de vraies lacunes dans les contrôles de sécurité de ses revendeurs. Nous choisissons nos partenaires pour leur sérieux et la confiance qu’ils peuvent inspirer.

Nos partenaires actuels VeriSign, GeoTrust, Thawte, ou GlobalSign n’ont JAMAIS émis de certificats corrompus de cette façon et ne sont absolument pas concernés par ce souci récurrent de Comodo. En effet d’autres cas se sont produits dans le passé avec le fameux certificat pour www.mozilla.org (déjà !) émis par l’un de leurs revendeurs qui vraisemblablement n’étaient (ne sont ?) pas suivis correctement.

Nous sommes aujourd’hui très heureux de vous proposer notre gamme de certificats émis par nos fournisseurs de confiance et vous assurons que nous ferons tout pour rester dans ces standards de qualité.