Mozilla Sécurité : Message aux autorités de certification sur les AC subordonnées
Plus tôt aujourd’hui, nous avons envoyé un courriel à toutes les autorités de certification dans le programme racine de Mozilla afin de clarifier nos attentes autour de la délivrance du certificat. En particulier, nous avons précisé que la délivrance de certificats d’AC subordonnée à des fins d’interception SSL dite man-in-the-middle ou de gestion du trafic est inacceptable. Nous avons dit clairement que cette pratique reste inacceptable même lorsque le déploiement prévu d’un tel certificat est limité à un réseau fermé.
En plus de cette clarification, nous avons fait plusieurs demandes. Nous avons demandé que ces certificats soient révoqués et leurs HSM détruits. Nous avons demandé les numéros de série de ces certificats et des empreintes digitales de leur signatures racines afin que nous, et les autres parties de confiance, puissent détecter et se méfier de ces certificats de sous-AC s’ils en rencontrent. Nous avons demandé que toute AC qui a délivré des certificats de sous-AC satisfasse à ces demandes au plus tard le 27 avril 2012.
Enfin, nous avons réitéré notre conviction que chaque racine est l’ultime responsable de chaque certificat qu’il signe, directement ou par l’intermédiaire de ses subordonnés. La participation au programme de racine de Mozilla est à notre entière discrétion, et nous prendrons toutes les mesures nécessaires pour garder nos utilisateurs en sécurité, jusqu’à et y compris la suppression des certificats racines qui émettent mal, ainsi que les racines qui les contre-signent. Néanmoins, nous pensons que la sécurité est mieux servie lorsque les navigateurs et les AC peuvent travailler ensemble ; nous espérons qu’une communication franche et des attentes claires pourront résoudre ces problèmes avant qu’une telle action soit nécessaire. Nous devons également être diligents dans la recherche de nouvelles façons d’améliorer les systèmes de sécurité du Web. Ces systèmes reposent sur la confiance des utilisateurs du Web et nous avons tous une responsabilité d’être de forts intendants de cette confiance.
Johnathan Nightingale
Directeur Senior de l’ingénierie de Firefox
Sources et références
- Mozilla Security Blog, Message to Certificate Authorities about Subordinate CAs, 17 fév. 2012, Johnathan Nightingale
- Mozilla Wiki : CA:Communications
- LeMondeInformatique, Mozilla veut révoquer les certificats SSL des autorités intermédiaires, 15 fév. 2012, Jean Elyan, avec IDG NS
Commentaires
Merci de ta réactivité une fois encore et de cette traduction. Cependant, serait-il possible que tu expliques un peu l’enjeu de ce courrier en termes plus simples (quitte à schématiser un peu) de manière à ce que des lecteurs assidus comme moi — curieux mais pas au niveau requis — puissent comprendre mieux de quoi il est question ? Naturellement, il ne s’agit pas d’entrer dans le détail du processus bien complexe des certificats, mais si tu as quelques minutes, de proposer en quelques phrases un résumé clair. Merci d’avance !
@Goofy : J’oublie que tout le monde ne suit pas la presse sur Mozilla comme moi. Il y a un article sur le sujet qui est paru en français il y a quelques jours sur LeMondeInformatique : Mozilla veut révoquer les certificats SSL des autorités intermédiaires. Je vais le rajouter en référence pour ceux que ça intéresse d’aller plus loin.