Ce matin le Windows 7 de mon boulot avait une mise à jour à installer. Jusque là rien d'exceptionnel. Par curiosité j'ai été voir à quoi correspondait cette mise à jour « de sécurité ».
Et là ça me semble assez bizarre :
Microsoft has released a Microsoft security advisory about this issue for IT professionals. This update is released for all supported versions of Microsoft Windows. This update revokes the trust of the following certificates by putting them in the Microsoft Untrusted Certificate Store:
*.google.com issued by *.EGO.GOV.TR
e-islem.kktcmerkezbankasi.org issued by TURKTRUST Elektronik Sunucu Sertifikasi Hizmetleri
*.EGO.GOV.TR issued by TURKTRUST Elektronik Sunucu Sertifikasi Hizmetleri
http://support.microsoft.com/kb/2798897
Sont-ce tous les certificats de Google qui vont être révoqués ou bien seulement certains, ceux émis par EGO.GOV.TR (selon la troisième ligne) ?
S'agit-il d'un tirage dans les pattes en règle ou bien est-ce tout à fait normal et je mérite un moinssage standard pour ce journal inepte et chiant comme la pluie qui avait sa place sur le forum ?
# Problème du côté de la Turquie
Posté par Buf (Mastodon) . Évalué à 10. Dernière modification le 07 janvier 2013 à 09:42.
À mon avis, c'est lié à ça : Turkish government agency spoofed Google certificate “accidentally”
[^] # Re: Problème du côté de la Turquie
Posté par patrick_g (site web personnel) . Évalué à 10.
Et il y a des commentaires intéressants ici : https://lwn.net/Articles/531346/
Est-ce qu'on doit "punir" les autorités de certifications qui sont manifestement incompétentes en révoquant tous leurs certificats ? Si on fait ça est-ce qu'il n'y a pas un risque que ces CAs tentent de cacher les futurs problèmes au lieu de les admettre ? Si on ne les punis pas est-ce qu'il n'y a pas un risque qu'ils continuent à se foutre de la sécurité ?
Des questions difficiles.
[^] # Re: Problème du côté de la Turquie
Posté par stopspam . Évalué à 4.
Ça me semble le jeu des certificats. Tout est basé sur la confiance en une CA. Si confiance il n'y a plus, révocation il y a.
Quant aux risques qu'aurait une CA à cacher des problèmes. L'organisme qui a intégré les certificats des CA pourrait très bien demander des comptes.
[^] # Re: Problème du côté de la Turquie
Posté par Misc (site web personnel) . Évalué à 2.
Oui, mais bon, voir la coopération entre google et microsoft, ça étonne tellement les gens qu'on se dit que c'est pas possible :)
# *.google.com issued by *.EGO.GOV.TR
Posté par Kioob (site web personnel) . Évalué à 10.
Moi je le comprends comme une révocation uniquement des certificats *google.com émis par *.EGO.GOV.TR, probablement utilisés par une société tierce (un FAI ?) pour «détourner» le trafic Google vers un proxy filtrant. Non ?
Enfin si c'est le cas, perso j'ai viré carrément «*.EGO.GOV.TR» qui n'aurait jamais du fournir un tel certificat.
alf.life
[^] # Re: *.google.com issued by *.EGO.GOV.TR
Posté par Juke (site web personnel) . Évalué à 5.
Par default nous ne devrions pas viré mais seulement ajouter les tiers aux quels nous faisons confiance.
# Monitoring sous Linux
Posté par Olivier (site web personnel) . Évalué à 4.
Bonjour,
sous Linux, est-ce qu'il y existe des moyens de surveillance quand à l'autorité de certification qui est utilisé pour valider tel ou tel site ? L'idée étant de vérifier que lorsque qu'une application demander à vérifier un certificat, l'on puisse savoir quelle CA a été utilisé.
En effet, si c'est un ".gouv." quelconque qui signe un certificat de type google (ou LinuxFr !), on peut avoir quelques doutes…
L'idée serait d'avoir une telle vérification sous forme d'un fichier de log, un peu plus pratique que la consultation des informations de sécurité qui apparaissent dans les navigateurs
Enfin, comment savoir si l'autorité de certification utilisé vient d'une liste intégré au navigateur (firefox, chrome, …) ou du système (sous Linux, des centaines de CA apparaissent dans /usr/share/ca-certificates/ /etc/ssl/certs/ ).
[^] # Re: Monitoring sous Linux
Posté par gnuzer (site web personnel) . Évalué à 7.
Ça existe en tant qu'extension pour les logiciels mozilla (CertPatrol et CertWatch), mais si quelqu'un a l'équivalent pour tout le système, je suis preneur.
[^] # Re: Monitoring sous Linux
Posté par Olivier (site web personnel) . Évalué à 2.
Merci à tout les deux pour vos réponses, je vais déjà voir ce que l'on peut faire avec ces outils.
[^] # Re: Monitoring sous Linux
Posté par Juke (site web personnel) . Évalué à 5.
Avec cert patrol c'est possible il me semble.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.