200812: reflexion autour de l'affaire Certstar
Le 22 décembre 2008, Certstar défraya la chronique en étant pris à émettre un certificat 1-facteur (à validation de domaine) à un tiers sans rapport avec ce domaine: un MITM classique! Grâce à un système de validation défaillant, ce revendeur Comodo a fait émettre un certificat sur le sub-CA PositiveSSL CA. Les certificats de ce revendeur ont été ré-audités et certains révoqués.Le détail de cette affaire peut être trouvé ici: https://bugzilla.mozilla.org/show_bug.cgi?id=470897
Cette affaire remets en lumière des choses que TBS internet martelle depuis longtemps:
- les certificats 1-facteur sont un danger pour l'internet (Pourquoi les certificats domain-validated sont dangereux ?)
- la gestion des CRL est mal implémentée dans les produits mozilla (voir ici)
- il devrait y avoir une façon simple pour bannir un sub-CA des produits mozilla et la liste des CA actifs devrait être validée par chaque RSSI (voir ici)
Dernière modification le 16/10/2012 07:43:26 --- [Chercher]