L’autorité de certification Let’s Encrypt désactive « TLS-SNI-01 validation » après la découverte d’une attaque capable de détourner des certificats utilisant ce protocole.
Let’s Encrypt est une autorité de certification lancée le 3 décembre 2015, qui fournit gratuitement les certificats SSL et TLS (connexions chiffrées en HTTPS) aux administrateurs web. Il y a peu de temps, elle a franchi les 177 millions de certificats. Après avoir reçu un rapport de Frans Rosén, professionnel de la sécurité et chasseur de bug, soulignant que le système TLS-SNI-01 pouvait être détourné, elle l’a désactivé. Selon l’expert, il est possible d’exploiter le protocole pour obtenir des certificats pour des domaines que vous ne possédez pas. “À l’heure actuelle, nous croyons que le problème peut être résolu en demandant à certains fournisseurs de services de mettre en place des contrôles plus rigoureux pour les domaines hébergés sur leur infrastructure“, a indiqué l’organisation le 11 janvier. “La seule chose que les entreprises peuvent faire pour se protéger est de rester vigilantes dans le contrôle de certificats malveillants. Le problème est que la grande majorité des entreprises de disposent pas de la technologie leur permettant de le faire”, a commenté Hari Nair, directeur de la recherche cryptographique chez Venafi. “Il est possible qu’il y ait une vague de révocation en réponse à cet évènement. La réalité est que le dépistage de certificats frauduleux est extrêmement difficile et contrôler le statut de révocation n’est pas quelque chose que le secteur a mené à bien jusqu’à présent. Donc pour l’instant, on ne peut pas savoir quel sera l’impact des révocations.”
L’expert précise que Google va exiger la norme « Certificate Transparency » [NDLR : qui soumet les autorités de certification à un système d’audit communautaire de certificats TLS/SSL] pour tous les certificats, en incluant les DV Certificates [NDLR : il existe trois types de certificats dont ceux Domain Validation], ce qui aidera à faire émerger ce type de problèmes plus tôt. Cependant, rien ne sera fait en ce sens avant avril 2018.
Lire aussi...
L'article de la semaine