Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Let’s Encrypt désactive « TLS-SNI-01 validation » après la découverte d’une attaque capable de détourner des certificats utilisant ce protocole

janvier 2018 par Marc Jacob

L’Autorité de Certificats, qui fournit gratuitement les certificats SSL et TLS aux administrateurs web, a reçu un rapport des professionnels en Cybersécurité soulignant que le système TLS-SNI-01 pouvait être détourné.

Il est possible qu’il y ait une vague de révocation en réponse à cet évènement. La réalité est que le dépistage de certificats frauduleux est extrêmement difficile et contrôler le statut de révocation n’est pas quelque chose que le secteur a mené à bien jusqu’à présent. Donc pour l’instant, on ne peut pas savoir quel sera l’impact des révocations.

Google va exiger la norme « Certificate Transparency » pour tous les certificats, en incluant les DV Certifiactes, ce qui aidera à faire émerger ce type de problèmes plus tôt. Cependant, rien ne sera fait en ce sens avant avril 2018. D’ici là, la seule chose que les entreprises peuvent faire pour se protéger est de rester vigilantes dans le contrôle de certificats malveillants. Le problème est que la grande majorité des entreprises de disposent pas de la technologie leur permettant de le faire ».


Voir les articles précédents

    

Voir les articles suivants