Menu
picture of tbs certificates
picture of tbs certificates
Les certificats
Notre gamme
Partenaires
Support
Numéro vert
Focus
Autres activités


Pourquoi les certificats domain-validated sont dangereux ?

Un certificat domain-validated ou à authentification faible (serveur Classe 1) est un certificat serveur délivré rapidement et sans vérification ou presque. Il ne garantit pas quelle société est propriétaire du certificat ni même que la société existe!

En fait, ce type de certificat active le chiffrement SSL, mais on ne sait pas à quel site on parle (c'est le syndrome de la conversation de 2 hommes enfermés dans un coffre fort dans le noir: leur conversation est sécurisée, mais ils ne savent pas à qui ils parlent!)

Les autorités de certification qui délivrent ces produits ne vérifient en fait qu'une seule chose: que le propriétaire du nom de domaine associé au certificat, tel qu'il apparait dans le whois a bien demandé le certificat. Le plus souvent, ils se contentent d'envoyer un email avec un mot de passe à l'adresse email trouvée dans le whois et attendent le retour par une interface web. Variante: ils téléphonent au numéro de tel trouvé dans le whois et demandent confirmation.

Ce procédé est facilement détournable. D'abord parce que les informations du whois sont purement déclaratives, et ne sont jamais vérifiées par les registrar. Ensuite parce que les registrar peuvent modifier ces informations à leur guise. Sans oublier que n'importe qui peut déposer un nouveau nom de domaine, qui ressemble à un domaine existant et connu, et obtenir un certificat.

C'est le souci majeur du phishing. Imaginons que votre banque ait un site https://www.creditbanque.com/ sécurisé avec un certificat domain-validated. Son certificat sera:
CN = www.creditbanque.com
OU = Domain Validated
O = www.creditbanque.com
Un pirate qui veut s'attaquer à cette banque va déposer un nom de domaine ressemblant, par exemple www.credltbanque.com Il va mettre des infos bidon dans le whois, par exemple une adresse email yahoo et un numéro de téléphone voix sur IP. Il va donc obtenir, en quelques minutes, un certificat:
CN = www.credltbanque.com
OU = Domain Validated
O = www.credltbanque.com
Maintenant il va créer son faux site web, hébergé sur un serveur piraté, et lancer son attaque de phishing.

L'utilisateur lambda n'y verra que du feu! Il se connectera à un site qui ressemble à sa banque, et qui dispose d'un SSL valide!

Toute ressemblance avec des faits qui se sont déjà produits n'est pas fortuite!

Aussi suivez notre conseil: bannissez les certificats à faible authentification.

Il existe des certificats à forte authentification et à faible coût, à partir de 63 EUR, voyez nos certificats TBS X509.

Remarque : on a pu voir récement, avec les piratages de bureaux d'enregistrement de domaines, qu'un certificat domain-validated n'offre aucune protection: le pirate ayant la main sur le domaine, peut alors obtenir un vrai certificat domain-valided (parfois même directement auprès du bureau d'enregistrement qu'il vient de pirater)! Mettre tout ses oeufs dans le même panier (domaine et certficat basé sur le domaine), c'est une très mauvaise idée pour la sécurité.

Comment savoir si un certificat est domain-validated

Il faut pour cela afficher le certificat du serveur. Souvent un simple ou double clic sur le cadena doré fait afficher le certificat.

Constatez qu'il est indiqué: Délivré à ou Organisation puis aucun nom de société à coté, mais un nom de domaine!

Allez ensuite dans l'onglet Détail et cliquez sur Objet ou Subject. Vous voyez alors un champ OU contenant "Domain Validated" ou un texte similaire.

Notez aussi qu'il n'y a pas le nom de la ville, et encore moins l'adresse du titulaire!

Cela signifie que ce certificat ne bénéficie d'aucune garantie sur le titulaire du certificat.

Vous acheteriez chez un commercant dont la carte de visite ne comprends ni son nom de société, ni sa ville?

Quelques pointeurs sur des incidents de sécurité liés à ces certificats: Et l'actualité continue à fournir des éléments à charge pour les domain-validated. On apprend qu'il existe que certains Registrar (vendeurs de noms de domaines) ne respectent pas leurs obligation de vérification de cohérence des informations publiés dans le whois. Les pirates peuvent donc déposer des domaines de façon totalement anonyme! En réalité, la majorité des Registrar n'effectue aucune vérification à priori des informations d'identité déclarée dans les whois. Dans ces conditions, il est évident qu'on ne saurait baser un certificat sur ces éléments d'identité.

Lire http://www.blog.referencement-1ere-page.com/index.php/2008/09/02/71-icann-a-exige-la-fermeture-du-pire-registrar-chinois

Cette fois, c'est une faiblesse de MD5 qui illustre encore négativement les certificats 1-facteur:
https://blogs.verisign.com/ssl-blog/2008/12/on_md5_vulnerabilities_and_mit.php

Une étude Netcraft de Décembre 2008 montre que 95% des certificats utilisant encore MD5 sont des certificat 1-facteur (ceci concerne majoritairement les certificats FreeSSL, RapidSSL et Thawte 123). CQFD!

Pour aller plus loin