SUPPORT

Un problème de certificat ? Besoin d'être dépanné rapidement ? Nos ingénieurs répondent à vos questions.

0 897 690 444 Service 0,80 €/min +prix appel
Menu
picture of tbs certificates
picture of tbs certificates
Les produits
Notre gamme
Partenaires
Support
Numéro vert
Focus


20081230: CA impactés par la vulnerabilité MD5

L'algorithme de hashage MD5 est depuis longtemps déjà, sous le feu des attaques par collision. Un groupe de chercheurs vient de montrer comment utiliser cette faille pour substituer un certificat X509 par un autre, afin d'obtenir un sub-CA permettant de signer de vrais-faux certificats. http://www.win.tue.nl/hashclash/rogue-ca/

Les chercheurs ont réussi à exploiter cette faille auprès d'une autorité de certification qui délivre des certificats 1-facteur (Pourquoi les certificats domain-validated sont dangereux?), de façon automatisée, en étant capable de prédire le numéro de série et la date de validité.

Fort heureusement, toutes les autorités de certification sérieuses ont arrêtées d'utiliser MD5 comme algorithme de hashage il y a longtemps et SHA1 est le standard de hashage. Plus aucun certificat délivré par ou via TBS internet n'utilise MD5, sauf les certificats ChamberSign (qui passeront en SHA1 en septembre 2009).

La sécurité du protocole SSL ou des certificats n'est pas remise en cause par cette avancée technologique.

TBS internet a annoncé quelques jours avant, en décembre 2008, le lancement de certificats signés en SHA-256, l'un des algorithmes de la famille SHA-2 actuellement inviolable (Certificats signés en SHA-256).

Nous avons informés nos clients porteurs d'un certificat MD5 de cet état de fait en leur proposant un remplacement gratuit vers un certificat SHA1.

Lien externe de suivi d'incident: http://www.kb.cert.org/vuls/id/836068

Comment vérifier l'algorithme de signature d'un certificat?

Utilisez firefox pour vous rendre sur un site sécurisé (en https). Faites CTRL + I ou double cliquez sur le cadenas afin d'atteindre, dans la boite d'information sur la sécurité, le bouton "Afficher le certificat". Dans la nouvelle fenêtre, cliquez sur l'onglet Détail puis sur le certificat à vérifier dans la zone du haut, enfin sur "Algorithme de signature des certificats" dans la zone du milieu. Vous devriez alors voir MD5 ou SHA-1.

Autre solution: utilisez le bouton "vérifier votre certificat" depuis votre page statut et regardez sur la page de résultat la zone "Algorithme de signature".

2011 04 15: La fondation Mozilla presse les autorité de certification pour abandonner le MD5

La fondation Mozilla souhaite que les autorités de certifications (CAs) se conforment rapidement à un nouveau standard de chiffrement plus sûre présent dans les certificats.
Ce nouveau standard est actuellement en cours de définition par le « CA/Browser Forum » (Version 1.0 Draft 30b : Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates).
Mozilla met ainsi la pression sur les autorités de certification en annonçant, par exemple, qu'à parir du 30 juin 2011 les logiciels Mozilla n'accepterons plus les certificats signés avec l'algorithme MD5 (Cf problème de sécurité expliqué ci-dessus en 2008).

Déjà depuis 2009, aucun certificat délivré par ou via TBS internet n'utilise le MD5.