Firefox : le retrait des certificats 1024-bit affecte plus de 100 000 sites Web

01 juin 2018 à 15h36
0
Si la dernière version de Firefox constitue une mise à jour de sécurité, celle-ci se traduit également par plusieurs problèmes de certificats pour plus d'une centaine de milliers de sites Internet.

00C8000006088422-photo-logo-firefox-2013.jpg
Dans leur nouvelle version, Firefox et Thunderbird ne prennent plus en charge les certificats chiffrés en 1024-bit. Cette stratégie fait suite à un ensemble de recommandations publiées par le NIST, l'institut des standards et des technologies.

Pour mémoire, ce certificat permet d'authentifier le serveur et donc de garantir une connexion sécurisée entre ce dernier et le navigateur. Cela permet d'éviter qu'un pirate ne puisse tromper l'internaute avec un faux site marchand.

Le NIST a estimé (PDF) que les chiffrements en 1024-bit devraient être dépréciés en 2010 et désactivés en 2013. L'objectif est de migrer un maximum d'organisations à adopter des certificats en 2048-bit. Toutefois, bon nombre de sites Internet reposent toujours sur un certificat en 1024-bit. Plus précisément selon le cabinet d'analyse Rapid7, l'outil de scan Project Sonar a déterminé que 107 535 sites internet seraient affectés par la décision de Mozilla.

Concrètement, cela signifie que les internautes disposant de la dernière version de Firefox obtiendront une erreur de certificat lorsqu'ils se rendront sur l'un de ces domaines. Toutefois cela ne signifiera pas qu'il s'agit de sites frauduleux.

Par ailleurs, Mozilla a ajouté les Public Key Pinning, une fonctionnalité permettant aux éditeurs de spécifier l'organisation leur ayant délivré un certificat. Il faut dire qu'en 2011, Google avait été victime d'une fraude. Plus précisément l'autorité de certification néerlandaise DigiNotar avait émis des certificats pouvant être acceptés par les serveurs de google.com. Toutefois, selon la firme californienne, DigiNotar n'avait pas été autorisée à produire des certificats sur ce domaine ou ses sous-domaines rattachés (mail.google.com, calendar.google.com...)

Ces clés publiques sont pour l'heure rattachées à addons.mozila.org ainsi qu'à twitter.com. Le domaine google.com devrait également adopter cette mesure de sécurité par la suite.


Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Actualités du moment

Microsoft matérialise son Graph au sein d'Office 365 Entreprise
Olympus Pen E-PL7 : un hybride dédié aux selfies pour fashionistas
Opera Mini disponible en bêta publique sur Windows Phone
Dropbox embauche deux spécialistes de la reconnaissance d'images
Fujifilm X100T : l'as du reportage amélioré et modernisé
Comment régler les couleurs de son écran PC ?
4 techniques simples pour nettoyer son PC
Alimentation de 850 W pour le multi-GPU chez Corsair
De Facebook... à Sexebook, réseau social coquin ?
Netflix perdra Starz fin février 2012
Haut de page