Certificats SSL : Mozilla hausse le ton et menace

Le par  |  4 commentaire(s)
mozilla-logo

Mozilla fait preuve d'une grande fermeté en demandant aux autorités de certification de s'assurer qu'elles n'ont pas été attaquées afin d'émettre des certificats SSL frauduleux.

mozilla-logoAvec Firefox et Thunderbird, Mozilla fait partie de la chaîne de confiance qui permet à un utilisateur d'être sûr qu'il consulte un site légitime et authentique lors d'une connexion sécurisée SSL. Cette chaîne de confiance n'a pas été rompue mais a pris un peu de plomb dans l'aile avec la récente affaire DigiNotar et Comodo avant elle.

De quoi nourrir des inquiétudes supplémentaires, le dénommé ComodoHacker revendique les attaques à l'encontre de ces autorités de certification et laisse entendre que d'autres sont dans le même cas. Citée par ledit pirate, GlobalSign a d'ailleurs pris des précautions le temps d'un audit en interrompant temporairement l'émission de certificats ( retour à la normale prévu pour la semaine prochaine ).


Mozilla fait pression
Une attitude responsable de GlobalSign, et Mozilla espère que d'autres autorités de certification en feront tout autant. Pour cela, Mozilla fait preuve d'une réelle fermeté en demandant aux autorités qui participent à son programme root ( certificat racine ) d'auditer leurs systèmes, d'établir une liste complète de certificats autorisés ou encore de confirmer l'existence d'une authentification à plusieurs facteurs pour tous les comptes liés à l'émission de certificats.

Cela ne rigole pas, Mozilla leur fixe une date butoir au 16 septembre 2011 sous peine de représailles. " La participation au programme root de Mozilla est à notre seule discrétion, et nous prendrons les mesures nécessaires afin d'assurer la sécurité de nos utilisateurs ".

La sanction n'est pas clairement formulée, mais Mozilla laisse entendre que certaines autorités de certification pourraient être " radiées " ( certificat racine révoqué ). Dès lors, les services en ligne en contrat avec ces autorités ne seraient pas reconnus comme sûrs pour l'utilisateur Firefox. De quoi les pousser à se tourner vers une autre autorité.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #829861
Malgré le ton (volontairement ou pas ?) légèrement railleur de l'article, Mozilla a parfaitement raison de se montrer ferme. Du point de vue de l'utilisateur, c'est le navigateur qui est pris en faute s'il y a un problème de sécurité. Il n'y a pas de raison que Mozilla paye pour les erreurs des autorités de certification.
Le #829881
TGN >>>Tout pareil !!!!
Le #829921
+1 y en a marre !!!
Anonyme
Le #830001
Ca se confirme, Mozilla est devenu une grande bureaucratie... sauf pour les insiders qui eux font (presque) toutes les co***ries qu'ils veulent...
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]