IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Des chercheurs de Google revoient en profondeur les fondements de SSL


Sujet :

Sécurité

  1. #1
    Expert éminent sénior
    Avatar de Idelways
    Homme Profil pro
    Développeur Ruby on Rails / iOS
    Inscrit en
    Juin 2010
    Messages
    1 374
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations professionnelles :
    Activité : Développeur Ruby on Rails / iOS

    Informations forums :
    Inscription : Juin 2010
    Messages : 1 374
    Points : 68 549
    Points
    68 549
    Par défaut Des chercheurs de Google revoient en profondeur les fondements de SSL
    Des chercheurs de Google revoient en profondeur les fondements de SSL
    Pour rendre le processus de certification plus transparent et plus sûr



    Des chercheurs de Google veulent remanier en profondeur les fondations des infrastructures de certifications SSL. En proposant une meilleure transparence, ils espèrent rendre le processus plus sûr et éviter de réitérer la déroute DigoNotar.

    Ben Laurie et Adam Langley proposent de combler une lacune fondamentale. Celle qui permet à plus de 600 autorités de délivrer des certificats valides et légaux, sans la permission du propriétaire du nom de domaine dont il est question (dans le cas où leurs systèmes sont par exemple piratés).

    Ils proposent dans ce but que tous les certificats soient publiés dans un log (fichier journal) public « auditable ». Les serveurs présenteront aux clients, en plus du certificat lui-même, une preuve (délivrée par l'autorité de certification) qu'ils sont enregistrés dans le log.

    Avant d'accepter la première connexion, les clients (navigateurs, clients de messagerie...) vont valider la conformité du certificat et de la preuve présentée par le serveur auprès du log public. Si un serveur ne présente pas une preuve, la connexion devra être tout simplement refusée.

    La preuve d'audit correspondra à l’empreinte Merkle du certificat (une signature numérique très résistante).
    Ainsi, l'intégrité de l'organisme qui maintient le log public n'a pas d'importance, expliquent les deux chercheurs : « Si l'organisme tente de tromper quelqu'un en acceptant un certificat qui ne soit pas enregistré, ils devront produire [NDR : en complicité avec l'autorité de certification] une preuve non vérifiable avec la version publiquement visible sur le log. » Auquel cas, des contradictions seront visibles et des mesures seront vite prises.

    Le système devrait être rétrocompatible avec les navigateurs, mais Laurie et Langley n'expliquent pas comment. Ils reconnaissent néanmoins que la maintenance, l'hébergement et la surveillance d'un tel log seraient difficiles et poseraient des « problèmes majeurs » de scalability et de disponibilité.

    Mais « étant donné que les logs seront à la fois signés et publics, il n'y aura pas de barrière insurmontable qui empêchera d'autres services à agréger et re-publier les logs », améliorant ainsi leur disponibilité.

    Les chercheurs insistent sur le fait que ce travail n'est qu'une ébauche sujette à d'importantes modifications.


    Détails de la proposition (PDF)

    Sources :
    blog d'Adam Langley
    Son compte Google+

    Et vous ?

    Que pensez-vous de l'idée de ces deux chercheurs ?
    Internet a-t-il réellement besoin de cette évolution ?

  2. #2
    Membre confirmé
    Inscrit en
    Février 2010
    Messages
    230
    Détails du profil
    Informations forums :
    Inscription : Février 2010
    Messages : 230
    Points : 581
    Points
    581
    Par défaut
    d'autres services à agréger et re-publier les logs
    Si les logs peuvent être reproduits sans risques, pourquoi ne pas placer la preuve en question sur le serveur auquel le certificat est délivré tout simplement?

  3. #3
    Membre à l'essai
    Profil pro
    Inscrit en
    Novembre 2011
    Messages
    12
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Novembre 2011
    Messages : 12
    Points : 16
    Points
    16
    Par défaut
    Et qui signe les logs? Google?

Discussions similaires

  1. Réponses: 0
    Dernier message: 30/11/2011, 20h02
  2. Réponses: 15
    Dernier message: 02/04/2010, 13h09
  3. Réponses: 6
    Dernier message: 04/01/2010, 16h19
  4. Réponses: 1
    Dernier message: 16/07/2009, 10h38
  5. Réponses: 0
    Dernier message: 16/07/2009, 08h15

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo