Chrome ne vérifiera plus les révocations de certificats SSL

Pause Café
#1

theregister.co.uk/2012/02/08 … _checking/

Pour les non-anglophones, grosso modo… Quand on se connecte sur un site web en SSL (HTTPS) non seulement le navigateur vérifie la chaîne de signatures du certificat pour vérifier qu’il a bien été émis par une “autorité de confiance”, mais en plus il vérifie auprès de cette autorité si le certificat est toujours d’actualité.

Google va supprimer cette deuxième vérification de son navigateur, Chrome.

Pour bien comprendre, on a trois cas de figure aujourd’hui lors de la vérification de révocation :

  • le serveur de révocation répond, le certificat est valide => on se connecte au site
  • le serveur de révocation répond, le certificat est invalide => on avertit l’utilisateur (en lui demandant à l’aide une page qui fait peur s’il veut continuer)
  • le serveur de révocation ne répond pas, on ne sait pas si le certificat est valide ou non => on se connecte au site

Sous prétexte que le troisième point rend le processus caduque (alors qu’il représente un infime pourcentage de l’ensemble des cas), Google a décidé de se débarrasser complètement de la vérification des révocations.
Don’t be evil ? :unamused:

#2

Ce qui veut dire que chrome se connectera à n’importe quel site https quelque soit la validité du certificat???

#3

Si le certificat présente une signature correcte, oui il se connectera. Pour être clair ce qu’il ne vérifiera plus c’est la révocation des certificats (liste noire de certificats reconnus mauvais si tu préfères).

Exemple concret : si des certificats frauduleux sont émis par un CA (mais ça s’est jamais vu n’est-ce pas ? :laughing-rolling:), Chrome ne sera pas protégé de ces certificats même si le CA les révoque immédiatement. Seul Google pourra placer ces certificats en liste noire en les incluant dans le navigateur lui-même.
Mais comme ces zouaves de CAs sont tellement transparents que, sauf coup de chance exceptionnel, on n’apprend ce genre de choses que années après…

Et tout ça pour quoi sérieusement ? Leur argument technique ne tient pas, je ne vois qu’une seule explication : « Regardez bonnes gens, notre Chrome met 50ms de moins à afficher une page HTTPS que les concurrents ! »

#4

Mouais entre la rapidité et la sécurité, mon choix est vite-fait personnellement…

#5

Je dirais même plus : entre la rapidité d’un côté, et de l’autre la sécurité ET la personnalisation… :mrgreen:
M’enfin je dérive du sujet là. :smiley:

Tiens j’en profite pour vous signaler que la gestion problématique du 3ème cas (le serveur de révocation ne répond pas, on ne sait pas si le certificat est valide ou non) est configurable dans Iceweasel : Édition -> Préférences -> Avancé -> Chiffrement -> Validation -> Quand la connexion à un serveur OSCP échoue, considérer le certificat comme étant invalide.
Chacun peut donc faire comme il l’entend, même si le réglage par défaut est de se connecter tout de même au site.