Firefox : le retrait des certificats 1024-bit affecte plus de 100 000 sites Web

08 septembre 2014 à 14h41
0
Si la dernière version de Firefox constitue une mise à jour de sécurité, celle-ci se traduit également par plusieurs problèmes de certificats pour plus d'une centaine de milliers de sites Internet.

00C8000006088422-photo-logo-firefox-2013.jpg
Dans leur nouvelle version, Firefox et Thunderbird ne prennent plus en charge les certificats chiffrés en 1024-bit. Cette stratégie fait suite à un ensemble de recommandations publiées par le NIST, l'institut des standards et des technologies.

Pour mémoire, ce certificat permet d'authentifier le serveur et donc de garantir une connexion sécurisée entre ce dernier et le navigateur. Cela permet d'éviter qu'un pirate ne puisse tromper l'internaute avec un faux site marchand.

Le NIST a estimé (PDF) que les chiffrements en 1024-bit devraient être dépréciés en 2010 et désactivés en 2013. L'objectif est de migrer un maximum d'organisations à adopter des certificats en 2048-bit. Toutefois, bon nombre de sites Internet reposent toujours sur un certificat en 1024-bit. Plus précisément selon le cabinet d'analyse Rapid7, l'outil de scan Project Sonar a déterminé que 107 535 sites internet seraient affectés par la décision de Mozilla.

Concrètement, cela signifie que les internautes disposant de la dernière version de Firefox obtiendront une erreur de certificat lorsqu'ils se rendront sur l'un de ces domaines. Toutefois cela ne signifiera pas qu'il s'agit de sites frauduleux.

Par ailleurs, Mozilla a ajouté les Public Key Pinning, une fonctionnalité permettant aux éditeurs de spécifier l'organisation leur ayant délivré un certificat. Il faut dire qu'en 2011, Google avait été victime d'une fraude. Plus précisément l'autorité de certification néerlandaise DigiNotar avait émis des certificats pouvant être acceptés par les serveurs de google.com. Toutefois, selon la firme californienne, DigiNotar n'avait pas été autorisée à produire des certificats sur ce domaine ou ses sous-domaines rattachés (mail.google.com, calendar.google.com...)

Ces clés publiques sont pour l'heure rattachées à addons.mozila.org ainsi qu'à twitter.com. Le domaine google.com devrait également adopter cette mesure de sécurité par la suite.


Modifié le 01/06/2018 à 15h36
0 réponses
0 utilisateurs
Suivre la discussion

Les actualités récentes les plus commentées

Apple annonce les iPhone 11 et iPhone 11 Pro : de nouveaux modèles en panne d’inspiration
Le paiement sur Internet s'arme d'un nouveau système antifraude fonctionnel dès demain
Apple Watch Series 5 : la montre connectée se dote d’un écran always-on
Maladies pulmonaires : les enquêteurs américains n'écartent aucune cigarette électronique
Renault : son crossover électrique K-ZE lancé en Chine, à partir de 8 500 €
La Suisse veut forcer les compagnies aériennes à renseigner les émissions CO2 sur les billets d'avion
Un son pour avertir les piétons va être ajouté à la Tesla Model 3
Uber s'enfonce (un peu plus) dans l'incertitude et licencie plus de 400 employés
iPhone 11 : tout savoir sur le processeur A13 Bionic qui l'anime
Nintendo s'attaque à nouveau à un site de partage de ROM

Notre charte communautaire

1. Participez aux discussions

Nous encourageons chacun à exprimer ses idées sur les sujets qui l'intéressent, et à faire profiter l'ensemble de la communauté de son expertise sur un sujet particulier.

2. Partagez vos connaissances

Que vous soyez expert ou amateur passionné, partagez vos connaissances aux autres membres de la communauté pour enrichir le niveau d'expertise des articles.

3. Échangez vos idées

Donnez votre opinion en étayant votre propos et soyez ouverts aux idées des autres membres de la communauté, même si elles sont radicalement différentes des vôtres.

4. Faites preuve de tolérance

Qu'il s'agisse de rédacteurs professionnels ou amateurs, de lecteurs experts ou passionnés, vous devez faire preuve de tolérance et vous placer dans une démarche d'entraide.

5. Restez courtois

Particulièrement lorsque vous exprimez votre désaccord, critiquez les idées, pas les personnes. Évitez à tout prix les insultes, les attaques et autres jugements sur la forme des messages.

6. Publiez des messages utiles

Chaque participation a vocation à enrichir la discussion, aussi les partages d'humeurs personnelles ne doivent pas venir gêner le fil des échanges.

7. Soignez votre écriture

Utilisez la ponctuation, prohibez le langage SMS et les majuscules, relisez-vous afin de corriger un peu les fautes de frappe et de français : trop de fautes n’engagent ni à lire le message, ni à répondre à une question.

8. Respectez le cadre légal

Ne publiez pas de contenus irrespectueux, racistes, homophobes, obscènes ou faisant l'apologie de courants radicaux, qu'ils soient politiques ou religieux. N'utilisez pas plusieurs comptes utilisateurs.

9. Ne faites pas de promotion

Ne profitez pas d'une discussion pour faire la publicité d'un produit, d'un service ou même de votre site web personnel.

10. Ne plagiez pas

Exprimez uniquement vos opinions ou partagez des idées en citant vos sources.

scroll top