Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Ivan Ristic : « SSL commence à montrer des faiblesses »

auteur de l'article Jerome Saiz , dans la rubrique Produits & Technologies

Commentaires Commentaires fermés sur Ivan Ristic : « SSL commence à montrer des faiblesses »

Quelles solutions ?

Au chapitre des solutions, tout le monde semble d’accord pour constater que le modèle de confiance sur lequel repose SSL n’est plus optimum, mais personne n’envisagerait sérieusement de tout casser pour tout réinventer.

Ivan Ristic se prononce quant à lui pour une approche innovante, utilisée notamment par Google dans son navigateur Chrome : le CA pinning. L’idée est de permettre aux sites qui demandent une connexion SSL de préciser également les Autorités de Certification qu’ils jugent légitimes pour émettre un certificat en leur nom. Cela permettrait d’éviter qu’un CA de troisième zone ne puisse émettre de certificat pour des services web majeurs (Google, Twitter ou n’importe quel webmail par exemple) après avoir été compromis, à l’image de Diginotar.

Le navigateur Chrome de Google supporte déjà le CA pinning de manière propriétaire mais le procédé pourrait être standardisé prochainement à l’IETF sous la forme d’une extension du protocole HTTP et sous le nom de key pinning.

Enfin, Ivan Ristic et Wolfgang Kandek misent également sur Convergence, une initiative du bien connu Moxie Marlinspike, expert de SSL (et accessoirement, comme le savent désormais les participants au quizz de notre dernier GRC Interchange, également auteur d’un documentaire vidéo consacré à la traversée des Caraïbes par un voilier nommé Pestilence…).

Convergence est une tentative de se passer totalement des Autorités de Certification. Le système repose sur des « notaires » distribués, très simples à créer par n’importe qui. Ainsi plutôt que de se voir imposés une liste pré-établie de CA par leur navigateur, les utilisateurs de Convergence sont laissés libres de choisir les fournisseurs de service « notariés » en qui ils ont confiance. Le système est distribué, ouvert et basé sur des relations de confiances laissées à l’initiative de l’utilisateur. Il n’est cependant aujourd’hui disponible, côté client, que sous la forme d’un plugin pour Firefox. Côté serveur de nombreux notaires existent déjà, dont ceux opérés bénévolement par Qualys dans le cadre de son SSL Labs.

Entre le CA pinning et le renversement du modèle de la confiance tenté par Convergence, SSL donne l’impression d’être à l’aube d’une évolution de fond.


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.