Laissés dans l'obscurité : quand le soleil se couche trop tôt
Le paysage de la sécurité sur Internet est en constante évolution. Les données déterminent les décisions prises par les organisations en matière de sécurité ; lorsque ces données sont incomplètes, il devient pratiquement impossible de prévoir les conséquences des changements de sécurité. Au début du mois, à la demande de Symantec Corporation, Google a supprimé la confiance accordée à un ancien certificat racine de l'autorité de certification Verisign pour ses produits, notamment le système d'exploitation mobile Android et le navigateur web Chrome.
"Mais Michael, il s'agit d'une ancienne autorité de certification... Cela ne fait-il pas partie du processus normal d'établissement d'un certificat racine public ?
Oui, il s'agit d'une ancienne autorité de certification. Le certificat racine détient une clé publique RSA de 1024 bits et le hachage de sa signature utilise l'algorithme de hachage SHA1, qui est obsolète. Symantec affirme qu'elle n'a pas utilisé cette racine pour signer de nouveaux certificats depuis "plusieurs années". De nombreux autres fournisseurs, dont Microsoft Corporation et Apple Inc., ont déjà retiré ce certificat racine de la liste de confiance de leurs systèmes d'exploitation et navigateurs respectifs.
Aller à la racine du problème
Alors pourquoi est-ce que je me donne la peine d'écrire sur un sujet aussi banal que la mise à la retraite d'une autorité de certification publique ? Rappelez-vous, il y a juste une minute ; vous souvenez-vous que j'ai parlé de données, de décisions et de conséquences ? Vous souvenez-vous que j'ai mentionné que les décisions en matière de sécurité fondées sur des données incomplètes peuvent conduire à une mauvaise compréhension et à une sous-estimation des conséquences ?
Dans le cadre de l'enquête de surveillance des certificatsSSL , nous surveillons en permanence tous les points d'extrémité SSL/TLS sur l'Internet public. Parmi les millions de certificats actifs sur l'internet, êtes-vous prêt à parier que Symantec connaît tous ceux qui sont liés à leurs racines publiques ? Compte tenu de leurs déboires de l'année dernière concernant les "faux" et les "faux" certificats émis à partir de leurs racines publiques, leur faites-vous confiance pour connaître les certificats qu'ils ont émis ?
Héritage de la racine ou non ?
Au1er décembre, date à laquelle la dépréciation a été exécutée dans les produits Google, nos recherches indiquent qu'il y avait encore 21 848 points de terminaison SSL/TLS en direct sur Internet servant des certificats qui sont liés à cette racine "ancienne". L'inspection manuelle de quelques-uns des points de terminaison affectés nous a conduits à des serveurs web pour des banques d'investissement, des préparateurs d'impôts en ligne, des périphériques VPN et des sites de commerce électronique. Ces données remettent en question l'affirmation de Symantec selon laquelle la société n'a pas utilisé cette racine pour générer de nouveaux certificats depuis "plusieurs années".
Malgré le tableau sombre que j'ai brossé ci-dessus, je peux dire que, dans les jours qui ont suivi la découverte de ces certificats, Symantec semble tenir sa promesse de réparer les dégâts pour les clients concernés. Tous les points d'extrémité qui ont été inspectés manuellement ont reçu de nouveaux certificats. Ces nouveaux certificats sont liés à des racines G3 alternatives ou à des racines G5 plus récentes et plus sûres chez Verisign.
L'exploitation d'une autorité de certification racine publique sur l'internet exige de l'opérateur qu'il donne l'assurance qu'il est digne de confiance. Récemment, Symantec et ses différentes filiales ont commis des erreurs : perte de la trace des certificats émis, émission de "faux" certificats ou de certificats de "test" à partir d'une racine publique et suppression d'une racine, laissant les clients avec des certificats d'entités finales qui ne sont plus dignes de confiance. Est-ce que cela ressemble aux actions d'une organisation que vous voudriez voir comme un leader fournissant une identité de confiance sur l'Internet ?
Certificat Internet mondial recherche
Consultez le site web du CSS pour obtenir des données sur le paysage Internet actuel de SSL/TLS, ainsi qu'un formulaire pour demander votre propre rapport personnalisé sur les certificats numériques que nous avons observés en surveillant l'utilisation de SSL/TLS sur l'Internet : https://www.css-security.com/research/
Pour plus d'informations sur l'enquête de suivi des certificats et les efforts de CSS Research, veuillez nous contacter à l'adresse suivante : [email protected].
