Google Researchers Propose New Plan to Shore Up CA System | threatpost
L'idée de Google pour fiabiliser un peu les certificats n'est pas bête. En gros, chaque CA a un log public des certificats émis. Tout le monde peut le consulter. Si un certificat frauduleux est émis et n'apparaît pas dans ce log, les navigateurs le rejetteront. Mais si le certificat frauduleux apparaît dans ce log public, le propriétaire du domaine pourra le voir.
Disons que au mieux ça rejette immédiatement le certificat frauduleux, au pire ça lève très rapidement une alerte au niveau du propriétaire du domaine (ce qui est toujours mieux que de découvrir des certificats frauduleux des mois après), mais cela obligerait les CA à beaucoup de transparence, ce qu'ils ne vont (à mon avis) pas apprécier du tout. Et leurs clients non plus: Imaginez Google ou Apple préparant un grand projet secret: S'il font signer un certificat pour leur nouveau domaine, ça sera immédiatement public, révélant ainsi leurs projets. Donc l'idée est bonne, mais il y a peu de chances que les CA l'adoptent.
Et leur sysrtème ne marcherait que si TOUS les CA acceptent le système, sinon les CA n'adhérant pas à ce système pourraient continuer à émettre des certificats frauduleux: Le propriétaire du domaine n'ayant pas accès au log de cette CA ne pourrait donc pas voir ce certificat frauduleux émis sur son domaine.
Bref... ce système serait un mieux, mais pas la panacée.
2011-11-29 18:33:33
http://threatpost.com/en_us/blogs/google-researchers-propose-new-plan-shore-ca-system-112911