La saga DigiNotar continue ...
Le
Xavier Roche
Le rapport
(http://www.scribd.com/doc/64011372/...Tulip-v1-0) du
gouvernement hollandais est édifiant: des malwares sur les serveurs de
production les plus critiques, serveurs non patchés avec de multiples
vulnérabilités, etc.
Il serait intéressant de savoir comment un prestataire aussi incompétent
techniquement a pu se glisser dans la liste des autorités de certification.
Et combien d'autres autorités de certification sont aussi peu fiables ..
(http://www.scribd.com/doc/64011372/...Tulip-v1-0) du
gouvernement hollandais est édifiant: des malwares sur les serveurs de
production les plus critiques, serveurs non patchés avec de multiples
vulnérabilités, etc.
Il serait intéressant de savoir comment un prestataire aussi incompétent
techniquement a pu se glisser dans la liste des autorités de certification.
Et combien d'autres autorités de certification sont aussi peu fiables ..
Poser une question
Hash: SHA1
Le 06/09/2011 16:46, Xavier Roche a écrit :
Il ne faut plus faire confiance aux CA, qui non seulement se font un
fric monstrueux vu le tarif d'un certificat, mais qui en plus au final
ne valent pas grand chose au vu de l'actualité (3ème ou 4ème CA
compromises à ce jour il me semble).
Et puis est-ce que la notion de CA a encore son sens de départ, quand on
voit que la plupart des navigateurs possèdent entre 300 et 600 root CA
en natif ?
Surtout que le grand public n'est ABSOLUMENT pas au courant de leur
existence ni de leur (non-)utilité et se limite à vérifier « qu'il y a
le petit cadenas », ce qui est bien sûr totalement inutile (OK, c'est
chiffré, mais pour qui ?)
Virez les root CA de vos navigateurs, informez vos visiteurs d'en faire
de même et expliquez-leurs la situation, montez vos propres CA et
diffusez VOS certificats à VOS visiteurs, etc.
En plus de cela, vous économiserez des milliers d'euro pour quelque
chose d'au final sûrement plus fiable (plus facile de vérifier son «
web-of-trust » avec une dizaine de certificats dont on connaît
directement les auteurs qu'avec des centaines de CA d'origine totalement
inconnue !) que la situation d'aujourd'hui.
- --
Aeris
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/
iQEcBAEBAgAGBQJOZkH2AAoJEK8zQvxDY4P99JEH/igbBzG9oX6WR5hdECT8ASHG
M1jnBK9tDaxQ9CILTprle5s4QladlHuf8QN6TutRSNkNbWA2vPCWq01Fu0b23cvI
LQ/0o32nLdRRbZHmQWRPBKkNKebqezQzlKljgjx6UFqEhOzEJXpWpjIdKv6Yo3uj
ylhXhwYo3uPigAJvi0U+hQq+avJz1f7ISgbhP5zkujh7Wg1KmLm39Q0AWtt8TOUU
neknTrh8UVOX8+IR9uRPbHmd/0doFXh7AN6aNWglI0efH9iBb4ZN4SpFkYfgkie0
GSRCgvYmGKQ3tN/UNfOeHGa6M89UHhAY2GlXtVBrtsdjtDOt79F9TMrEuVI0AjU =FRG+
-----END PGP SIGNATURE-----
Au moins quatre de plus, si on estime que le message pastebin vient bien
du pirate:
http://pastebin.com/1AxH30em
--
Kevin
Si cela permet de faire une grosse purge dans ce panier de crabes que
sont les autorités de certification, ainsi soit-il.
Ah, j'oubliais la meilleure: les boites en question sont auditées par
des "experts" en sécurité pour pouvoir faire partie du gotha des
entreprises de confiance. Ce qui donne un éclairage édifiant sur le
niveau de compétence de ces fameux experts ..
Dans ce genre de cas, c'est moins la compétence que l'épaisseur du
carnet d'adresses qui compte. nmdpcjls.
--
XAv
In your pomp and all your glory you're a poorer man than me,
as you lick the boots of death born out of fear.
(Jethro Tull)
En tout cas, le type qui se cache derrière "ComodoHacker" a un sacré
ego, si on en juge par tous ses messages sur pastebin:
http://pastebin.com/u/ComodoHacker
--
Bruno Tréguier