site map contact us back to main page
picture of tbs certificates
Focus
Alerte OpenSSL/Debian :
TBS Internet refabrique gratuitement les certificats impactés par ce bug et invite ses clients à vérifier si ils sont concernés. Plus de détails...

De nouveaux assistants sont à votre disposition!
TBS Internet a développé deux nouveaux outils pour vous guider dans votre choix de «solutions PKI» ou «certificats utilisateurs».



(Category) FAQ TBS-certificats : (Category) Technologie : (Category) Logiciels serveurs :
Annonce sécurité OpenSSL / Debian (DSA-1571)
Debian a annoncé dans http://www.debian.org/security/2008/dsa-1571 que certaines de ses versions d'OpenSSL entre le 2006-09-17 et 2008-05-12 sur etch, lenny ou sid (mais pas sarge) ont un bug de génération de clef privée (pas suffisamment aléatoire). Ceci affecte Linux Debian et certaines distributions basées sur Debian (entre autre Ubuntu, voir une liste ici) et probablement aussi certains boitiers et appliances.

Le fait de mettre à jour OpenSSL sur une plateforme affectée ne suffit pas à régler le problème. Il faut regenérer toutes les clefs privées fabriquées lorsque le système était vulnérable.

De ce fait, nous demandons, sans attendre, aux utilisateurs de certificats SSL (serveur, client, développeur) qui ont généré une clef privée sur ces systèmes de générer une nouvelle clef privée et un CSR associer afin de demander une refabrication gratuite de leur certificat. Voir plus bas.

Sachez aussi qu'il n'y a pas que SSL d'impacté, d'autres composants courants comme OpenSSH et OpenVPN sont affectés. Plus d'infos sur: http://www.debian.org/security/key-rollover/ et http://wiki.debian.org/SSLkeys

Concernant Ubuntu, voir l'annonce USN-612-1. Les principales versions affectées sont 7.04 Feisty), 7.10 (Gutsy), 8.04 LTS (Hardy).

Le suivi global des impacts de cet incident est assuré sous la référence CVE-2008-0166

Le détail du problème Debian est disponible sur http://metasploit.com/users/hdm/tools/debian-openssl/

Un détecteur de certificat utilisant une clef vulnérable est disponible sous forme de plugin Firefox ici: http://codefromthe70s.org/sslblacklist.asp

Comment procéder ?

  1. Déterminer si vous êtes affecté: vérifier quelle version de Linux vous utilisez et avez utilisé depuis 2006-09-17. Par exemple en tapant: 
    head /etc/*release
  2. Si vous pensez êtes affecté, ou dans le doute, régénérez les clefs. Mais d'abord vérifier que votre version d'OpenSSL est désormais à jour: lancez la mise à jour sécurité de votre OS et/ou consultez l'annonce sécurité de votre distribution. 
    openssl version
  3. C'est le moment de régénérez les clefs et de demander la refabrication gratuite, voir (Xref) Refabrication . Pour regénérer une clef privée et un CSR, voir (Xref) Générer un CSR pour Apache

  4. Procédez aux autres refabrication pour les autres clefs affectées (OpenSSH, OpenVPN, etc.)

Autres impacts

Afin de lever toute ambigüité, ce problème affecte les systèmes de nos clients, car c'est eux qui génèrent leurs clefs privées. Aucun de nos systèmes, de notre autorité de certification, ou des autorités de certification de nos fournisseurs, n'est affecté par cet incident, et la sécurité des racines est toujours assurée.

Néanmoins si vous avez créé des autorités de certification interne avec OpenSSL et des certificats auto-signés, il vous faut vérifier que vous n'êtes pas vulnérable !


Opération de révocation des certificats affectés

Nous avons informé tous nos clients munis de certificats affectés de leur situation. Une grande majorité a déjà refabriqué ses certificats, nous continuons à démarcher les derniers concernés.


[Contribuer à cette Entrée]
2008-Aug-19 8:48pm


Précédent: (Answer) Utilisation hasardeuse de BlueCoat
Ce document est: http://www.tbs-certificats.com//cgi-bin/fom.cgi?file=432


C'est une Faq-O-Matic 2.721.
francais anglais contact