Certificats racine moisis

[LeSniper]

Un bon outil déniché par l'ami Korben pour analyser sa bécane sous W$.
http://korben.info/a-recherche-certific ... ereux.html
À noter que ces certificats moisis peuvent aussi se retrouver dans ceux de Firefox, donc aussi sous Nux...
Par contre, je n'ai pas trouvé d'outil spécifique à Nux pour ce genre de faille. Il va falloir mettre les mains dans le cambouis pour nettoyer...

[débitant]

ces certificats, sont-ils dans mon profil firefox?
si oui: je prends mon profil firefox sur LM, puis je vais sur firefox XP, lui balance mon profil, utilise l'outil Korben, nettoie, et fait la manip inverse
ça fonctionnerai ?

[LeSniper]

Personnellement, ça fait un bail que j'ai révoqué (viré) tous les certificats signés par les Chinois, Hong Kong et la Turquie. Et ça date de plusieurs années déjà, suite à des compromissions déclarées. Mais impossible de retrouver où j'avais pêché ces infos... probablement chez Korben ou un autre pointu comme lui. Et je peux vous garantir que ça n'a empêché aucun accès aux sites que je visite.
Il y a eu aussi l'affaire Diginotar en 2011 qui a entraîné la révocation de tous ces certificats:
- DigiNotar Cyber CA
- DigiNotar Extended Validation CA
- DigiNotar Public CA - G2
- DigiNotar Public CA 2025
- Koninklijke Notariele Beroep
Et le piratage de Commodo la même année...

[débitant]

ne jettes pas les épluchures tout de suite, on n'sait jamais

[débitant]

au pire si on vire tous les certificats, quand on en aura besoin, ça nous le demande ou c'est fait en arrière plan ?
parce que je ne me souviens pas d'avoir été sollicité par ces trucs

[LeSniper]

Ça redemande. J'ai le cas de temps en temps sur des sites signés avec un certificat personnel. Il suffit d'ajouter une exception et de la confirmer comme permanente.

[lacktchou]

Je ne comprends rien à tous ces charabias de certificats, et bla bla bla. C'est là où cela devrait se retrouver d'ailleurs.

[LeSniper]

Qu'est-ce que tu ne comprends pas ? l'utilité des certificats ? ou leur vulnérabilité annoncée ici ? Dis-moi, je vais essayer d'expliquer...
Les certificats signés par une autorité servent à garantir une connexion avec des sites en mode HTTPS. S'ils sont corrompus ou compromis (piratés) ils peuvent être utilisés (détournés) pour une redirection vers un site pourri (vérolé) ou une attaque "man in the middle" (interception de données). Les navigateurs intègrent un "magasin" contenant tous les organismes de certification de haut niveau (certificats racine), qui eux-mêmes délivrent des certificats à des sites reconnus sûrs. Certains organismes sont moins regardants que d'autres pour attribuer un certificat (Chinois, Turcs par exemple...) et même soupçonnés de collaboration avec des services secrets. D'autres certificateurs ont fait l'objet de piratages et des clés de sécurité se baladent dans la nature. Bien sûr, les piratages connus sont rapidement colmatés lors des mises à jour des navigateurs par une révocation des certificats moisis. Mais pour un piratage connu, combien restent dans l'ombre plusieurs mois ? C'est pourquoi il est préférable de faire le ménage soi-même en virant les certificats pour lesquels on a un doute.
Voilà voilà... je n'ai pas la connaissance des pointus en sécurité comme le très respectable Korben, alors j'essaie d'expliquer ça simplement. Que les puristes me pardonnent si j'ai écrit des concetés (®JCB).
Et je l'ai mis là parce qu'on en parlait sur bla-bla-bla et on m'a demandé de basculer ici. J'aurais bien vu ça dans une rubrique "sécurité", mais on ne va pas multiplier les sous-forums; le taulier va râler.

[lacktchou]

Merci LeSniper pour ton dévouement.
Il y a tout un tas de certificats dans, " serveur " et dans " authorité " .

Je n'y connais rien. Comment savoir lequel est bon à garder et un autre à virer?

Tu es très gentil de vulgariser pour un " pôvre " Lacktchou certignorant ( copyright Lacktchou ).

[LeSniper]

Alors, grosso-modo...
- Dans "autorités" on trouve les grands services habilités à délivrer des certificats. Ceux-ci sont (en théorie) réputés solides et de confiance. Sauf que... j'ai une confiance limité pour certaines autorités ou certains pays. Je me vois mal faire confiance à des Chinois (réputés pour leur armée de hackers), Turcs (pour leur sécurité trouée), et quelques autres pays pour des raisons personnelles...
- Dans "serveurs" on trouve les certificats des sites (ou serveurs) que tu as visités et donc autorisés (approuvés). Soit automatiquement (par "autorités") soit manuellement en validant un avertissement de Firefox.
J'ai pratiquement 80/90% d'autorités inutiles (inutilisées dans "serveurs") mais je les garde parce que je leur fais confiance et aussi parce qu'ils garantissent eux-même des autorités utilisées.