Tag Archives: verisign

SSL: DigiNotar, une nouvelle CA corrompue

Alors que Comodo a émis en début d’année des certificats SSL frauduleux pour des grands noms de domaines comprenant live.com ou encore google.com (cf article ici), c’est au tour d’une nouvelle autorité de certification (CA) néerlandaise DigiNotar d’annoncer en cette fin de mois d’août qu’elle a du révoquer en panique près de 300 certificats SSL qui avaient été émis pour des noms de domaines préstigieux dont google.com.

Un certificat Wildcard de type *.google.com a été émis via cette CA. Il a fallu à DigiNotar plus d’un mois pour se rendre compte de la bévue et la révoquer en date du 28 août alors que le 19 juillet ils pensaient avoir révoquer tous les certificats qui avaient échappé à leur vigilance. Il semblerait qu’une fois encore cette attaque de système d’émission provienne d’Iran et permettrait essentiellement d’intercepter des emails d’iraniens pour le compte du régime.

Toutes les CA’s sont désormais des cibles privilégiées des hackers de tous bords, et elles doivent tout mettre en oeuvre pour combattre tout type d’intrusion dans leurs systèmes d’émission. Il est clair que la menace est grande de voir d’autres CAs émettre des certificats SSL frauduleux dans le futur. Cependant, les CA les plus reconnues et puissantes comme le groupe Symantec (VeriSign, Thawte ou GeoTrust) ou GlobalSign, CA revendues par SSL247 et choisies pour leur sérieux, n’ont pas émis de faux certificats et ne sont pour le moment absolument pas concernées par les soucis qu’ont pu connaître ces CAs aux standard d’émissions plus légers et aux contrôles moins poussés.

Pour éviter ces problèmes à l’avenir, le choix des CAs pour le client est évidemment d’une importance capitale. En effet, le prix rentre très souvent dans les décisions des acheteurs. Cependant, la sécurité et l’intégrité des systèmes d’émissions et de contrôle ont un coût et il va de soi que ce seul facteur prix entrant dans un schéma décisionnel ne permet pas l’optimisation de l’inviolabilité d’un système qui fonctionne par ailleurs très bien. Pour faire un parallèle simple, la crise de la vache folle et donc la qualité de la viande bovine a été mise en peril pour faute de coûts tirés vers le bas en nourrissant le bétail de farines animales. Depuis ce drame, les autorités ont réagi et mis en place des standards de production plus drastiques. Qu’attend-on pour faire le ménage dans les petites CA tirant les prix vers le bas et du coup dépassées par les hackers travaillant pour les forces obscures…

ComodoGate – Certificats SSL Corrompus

Posted on

Les certificats Comodo bannis des principaux navigateurs internet ? Ce n’est peut être plus si éloigné de la réalité. En effet, encore une fois, l’autorité de certification Comodo fait parler d’elle après l’émission de la part de l’un de ses revendeurs (GlobalTrust en Italie) de vrais faux certificats SSL pour des noms de domaines d’une importance majeure comme login.skype.comlive.com de Microsoft, google.com, ou encore mozilla.org !

SSL247 a plusieurs fois été approchée par cette autorité de certification pour la revente de leurs solutions. Nous avons toujours été très clairs : nous ne vendons pas de certificats SSL d’une autorité de certification qui n’est pas cotée en bourse, et qui montre de vraies lacunes dans les contrôles de sécurité de ses revendeurs. Nous choisissons nos partenaires pour leur sérieux et la confiance qu’ils peuvent inspirer.

Nos partenaires actuels VeriSign, GeoTrust, Thawte, ou GlobalSign n’ont JAMAIS émis de certificats corrompus de cette façon et ne sont absolument pas concernés par ce souci récurrent de Comodo. En effet d’autres cas se sont produits dans le passé avec le fameux certificat pour www.mozilla.org (déjà !) émis par l’un de leurs revendeurs qui vraisemblablement n’étaient (ne sont ?) pas suivis correctement.

Nous sommes aujourd’hui très heureux de vous proposer notre gamme de certificats émis par nos fournisseurs de confiance et vous assurons que nous ferons tout pour rester dans ces standards de qualité.