[StartSSL] Failles critiques StartEncrypt

Pause Café
#1

En réaction à LetsEncrypt, la société StartSSL a lancé son nouveau service StartEncrypt …
Voilà des raisons de failles critiques pour lesquelles, il vaut mieux s’en passer pour l’instant :

(article en Anglais)

  • obtenir des certificats pour des domaines non-gérés !
  • pas de vérification de la validité du certificat …
  • la clé privée relative au certificat, en mode RW, pour tout le monde :frowning:
  • etc …

Selon StartSSL, avec la version 1.0.0.1, ce serait fixé … donc, si l’un de nous utilise cette CA, mettez absolument à jour !

#2

ec

#3

Oui ???

#4

Non c’est rien je m’amuse :grin:

#5

Pour ça, j’ai du mal à voir en quoi une mise à jour côté utilisateur peut régler le problème (à part de considérer qu’une autorité de certification qui fait de la merde à ce point ne mérite pas d’être considérée comme de confiance et de la supprimer… Ce qui est un peu dommage car StartSSL était jusqu’à il y a peu la seule CA qui proposait des certificats gratuits à ma connaissance. Et a priori, ils ont désactivé leur service quand ils ont appris ça, donc ils font au moins le minimum syndical quand ils savent qu’ils ont fait n’importe quoi.)