Le compte à rebours est lancé pour Keyfactor Tech Days - réservez votre place dès aujourd'hui !

  • Accueil
  • Blog
  • L'énigme des certificats GlobalSign - Pourquoi il est difficile de bien faire PKI

L'énigme des certificats GlobalSign - Pourquoi il est difficile de bien faire PKI

Hier (13 octobre 2016), certains segments du monde de l'infrastructure à clé publique (PKI ) ont été pris de frénésie, lorsqu'un certificat de l'AC GlobalSign a semblé avoir été révoqué. Il est clair que la révocation d'un certificat d'autorité de certification est un événement important, car tous les certificats qui passent par cette autorité de certification deviennent invalides.

De nombreux médias ont rapporté que GlobalSign s'était "trompé" et avait accidentellement révoqué une autorité de certification vivante et non compromise. GlobalSign a toutefois rejeté la responsabilité sur les implémenteurs de navigateurs : https://www.globalsign.com/en/customer-revocation-error/

"Dans le cadre d'un exercice planifié visant à supprimer certains de ces liens, un certificat croisé reliant deux racines a été révoqué ... certains navigateurs en ont déduit à tort que la racine ayant reçu une signature croisée avait révoqué les intermédiaires, ce qui n'était pas le cas".

Ainsi, selon la personne que l'on croit, le "ratage" était soit la faute de GlobalSign, soit celle d'un code de validation de certificat défectueux utilisé par des navigateurs tels que Google Chrome. En toute justice pour GlobalSign, nous avons certainement vu de nombreux exemples de problèmes de mise en œuvre de SSL/TLS dans le passé : FREAK, HEARTBLEED et le bogue "goto fail" d'Apple viennent immédiatement à l'esprit, sans parler des problèmes liés au protocole tels que POODLE et DROWN. Compte tenu de ces antécédents, l'explication de GlobalSign me semble tout à fait plausible.

Quoi qu'il en soit, c'est une nouvelle preuve que PKI est difficile.