SUPPORT

Un problème de certificat ? Besoin d'être dépanné rapidement ? Nos ingénieurs répondent à vos questions.

0 897 690 444 Service 0,80 €/min +prix appel
Menu
picture of tbs certificates
picture of tbs certificates
Les produits
Notre gamme
Partenaires
Support
Numéro vert
Focus


Annonce sécurité OpenSSL / Debian (DSA-1571)

Debian a annoncé dans http://www.debian.org/security/2008/dsa-1571 que certaines de ses versions d'OpenSSL entre le 2006-09-17 et 2008-05-12 sur etch, lenny ou sid (mais pas sarge) ont un bug de génération de clef privée (pas suffisamment aléatoire). Ceci affecte Linux Debian et certaines distributions basées sur Debian (entre autre Ubuntu, voir une liste ici) et probablement aussi certains boitiers et appliances.

Le fait de mettre à jour OpenSSL sur une plateforme affectée ne suffit pas à régler le problème. Il faut regenérer toutes les clefs privées fabriquées lorsque le système était vulnérable.

De ce fait, nous demandons, sans attendre, aux utilisateurs de certificats SSL (serveur, client, développeur) qui ont généré une clef privée sur ces systèmes de générer une nouvelle clef privée et un CSR associé afin de demander une refabrication gratuite de leur certificat. Voir plus bas.

Sachez aussi qu'il n'y a pas que SSL d'impacté, d'autres composants courants comme OpenSSH et OpenVPN sont affectés. Plus d'infos sur : http://www.debian.org/security/key-rollover/ et http://wiki.debian.org/SSLkeys

Concernant Ubuntu, voir l'annonce USN-612-1. Les principales versions affectées sont 7.04 Feisty), 7.10 (Gutsy), 8.04 LTS (Hardy).

Le suivi global des impacts de cet incident est assuré sous la référence CVE-2008-0166.

Un détecteur de certificat utilisant une clef vulnérable est disponible sous forme de plugin Firefox ici: http://codefromthe70s.org/sslblacklist.asp.

Comment procéder ?

  1. Déterminer si vous êtes affecté: vérifier quelle version de Linux vous utilisez et avez utilisé depuis 2006-09-17. Par exemple en tapant:
    head /etc/*release
    
  2. Si vous pensez êtes affecté, ou dans le doute, régénérez les clefs. Mais d'abord vérifier que votre version d'OpenSSL est désormais à jour: lancez la mise à jour sécurité de votre OS et/ou consultez l'annonce sécurité de votre distribution.
    openssl version
    
  3. C'est le moment de régénérer les clefs et de demander la refabrication gratuite, voir Refabrication. Pour regénérer une clef privée et un CSR, voir Générer un CSR pour Apache
  4. Procédez aux autres refabrication pour les autres clefs affectées (OpenSSH, OpenVPN, etc.)

Autres impacts

Afin de lever toute ambiguïté, ce problème affecte les systèmes de nos clients, car c'est eux qui génèrent leurs clefs privées. Aucun de nos systèmes, de notre autorité de certification, ou des autorités de certification de nos fournisseurs, n'est affecté par cet incident, et la sécurité des racines est toujours assurée.

Néanmoins si vous avez créé des autorités de certification internes avec OpenSSL et des certificats auto-signés, il vous faut vérifier que vous n'êtes pas vulnérable !

Opération de révocation des certificats affectés

Nous avons informé tous nos clients munis de certificats affectés de leur situation. Une grande majorité a déjà refabriqué ses certificats, nous continuons à démarcher les derniers concernés.