Firefox 3 : Catastrophique barre d’adresse avec https

[teoli2003]

Je n'ai aucune idée de la façon de différentier les certificats sûrs des non-sûrs, mais, s'il y a un moyen, il serait intéressant que Firefox assimile ces certificats aux certificats EV.

Mais, ce moyen, ce sont les certificats EV!

Un certificat EV contient un ou deux champs supplémentaires indiquant qu'il est EV.

Et l'éditeur du navigateur fait un audit du CA pour savoir s'il le croit ou non lorsqu'il prétent, via ces champs, faire la vérification.

Un certificats EV est un certificats X.509 valable.

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9) Gecko/2008052906 Firefox/3.0

[morine]

Pour ceux qui s'intéressent au sujet Mozilla/VeriSign

But the Firefox plug-in is managed by VeriSign, and they must decide which root certificates to trust. They could have assumed that all CAs offering EV certificates had followed all the rules, and the rules (set by the CA/Browser Forum) are pretty stringent. Or they could have tried to verify which are doing all the vetting they need to.

This work really should be done by the browser writers, and VeriSign tells me that Microsoft does it. When Microsoft calls to ask you questions about your procedures you take the call and (according Microsoft requires a copy of the CA's WebTrust EV audit before turning on that root for EV and also requires a copy of the yearly WebTrust compliance audit to keep the green bar active.

This is also a temporary problem. Firefox 3 will, it appears, support EV certificates natively. At this point the job of policing certificate authorities will transfer to Mozilla.

But it isn't reasonable to expect VeriSign to call up other certificate authorities and demand proof of their good business practices. That wouldn't rub people the right way. So in the meantime, only VeriSign certs are working, and if this isn't acceptable then Firefox isn't an acceptable EV platform.

Pourquoi Firefox 3 est sortie très en retard avec différentes versions non planifiées ?
Entre autre à cause justement de cet épineux problème de SSL/VeriSign.

Mais la tentation est tellement grande de verrouiller un marché avec un bon accord commercial. Business is business !!

[DJiK]

avant avec la version 2 la barre d'adresse était en jaune signifiant que l'on été sur un site sécurisé, ce qui est l'essentiel.

Je plussoie. La barre toute jaune se voyait bien, ce petit carré bleu est quasi-invisible.

[teoli2003]

Morine, quel rapport entre une extension faite par Verisign et Mozilla?

Je peux écrire une extension qui accepte les certificats TV (teoli-validated) et les affiche en vert. En quoi est-ce que Mozilla est concerné?

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9) Gecko/2008052906 Firefox/3.0

[morine]

Morine, quel rapport entre une extension faite par Verisign et Mozilla?

Houla.......
Ha ben si tu en es encore là, je ne peux rien pour toi !!

Pour t'aider un peu "Firefox 3 will, it appears, support EV certificates natively. At this point the job of policing certificate authorities will transfer to Mozilla. "

Il faut un travail extrêmement étroit entre VeriSign et Mozilla pour envisager un tel transfert de responsabilité pour décider si un certificat est bon ou non !!

Concernant les extensions, c'est bien Mozilla qui met l'extension VeriSign sur son site, et peut difficilement ignorer l'existance d'extensions extrêmement sensibles puisque touchant la sécurité.

[Invité]

The RedBurn commande un EV chez n'importe qui et dit moi ce qu'il te demande... rien de plus ni de moins qu'un certificat normal.

Je ne vais pas jeter un pavé dans la marre... en fait si

Plouf plouf...

Un certificat SSL code les informations émises et reçu entre 2 machines, le serveur et le client. POINT FINAL
Pour pirater il faut a l'instant T pouvoir intercepter tout les échanges entre le 2 machines. Une fois les informations reçu il va falloir les décoder, ce qui prendra pour un gars avec 60 machines top niveaux une bonne dizaine d'années. Qu'il y est un certificat EV ou pas.

Par contre la vérification de la sécurité des serveurs n'est contrôle par personne. Ainsi certain serveurs Apache (je ne dis pas lesquels) ont une faille de sécurité qui permet de décoder très facilement le certificat RCS du serveur et de la lire facilement les information transmises, qu'il y est un EV ou pas

teoli2003 les certificats normaux ont aussi l'identité du propriétaire inscrit en dur dans le certificat, je l'ai prouvé ici...

Le carré bleu signale au internaute qu'ils sont sur un site sécurié NON CONFORME car l'identité du propriétaire est inconnu. ABERRANT

Dans le même temps et avec le même certificat Verisign dit dans son sceau, même site même certificat :

NOM DU SITE : www.toto-machin.fr

ÉTAT DU CERTIFICAT SSL : Valable (06-Jun-2008 au 07-Jun-2010)

SOCIÉTÉ/ORGANISATION : TOTO-MACHIN
BORDEAUX
FR, FR

Transmission de données cryptées : Ce site Web peut sécuriser vos informations confidentielles avec un certificat SSL VeriSign. Les informations échangées avec une adresse commençant par https sont cryptées avec SSL avant d’être transmises.

Identité vérifiée : TOTO-MACHIN a été authentifié en tant que propriétaire ou opérateur du site Web dont l'URL est www.toto-machin.fr. Des documents officiels confirment la validité de l'activité commerciale de TOTO-MACHIN.

De qui ont se fout ?

[The RedBurn]

morine> Merci d'indiquer les sources. En l'occurrence, tes citations semblent venir de http://blogs.pcmag.com/securitywatch/20 ... upport.php

L'extension VeriSign EV Green Bar n'a pas été placée sur Firefox Add-ons par Mozilla mais bien par VeriSign, jusqu'à preuve du contraire.

Il n'y a pas eu d'accord entre Mozilla et VeriSign pour un transfert de responsabilité, jusqu'à preuve du contraire.

The RedBurn commande un EV chez n'importe qui et dit moi ce qu'il te demande... rien de plus ni de moins qu'un certificat normal.

Comment peux-tu le savoir puisque tu n'en a jamais commandé ?

[calimo]

Il faut un travail extrêmement étroit entre VeriSign et Mozilla pour envisager un tel transfert de responsabilité pour décider si un certificat est bon ou non !!

Parce que Mozilla ne serait pas capable de le faire tout seul, comme ils l'ont toujours fait ?

Il faut arrêter de voir le mal partout, le processus de validation des cerificats chez Mozilla est totalement ouvert et répond à des critères objectifs. Voir http://www.mozilla.org/projects/security/certs/policy/ à ce propos. Si tu penses qu'un certificat ne répond pas à ces critères, ou qu'une autorité est injustement inclue, ou qu'il y as un abus quelconque, tu ouvres un bug sur bugzilla en argumentant.

il suffit de faire un chèque.

Justement, c'est ce que les EV veulent éviter. (Alors oui, il faut payer plus pour avoir un EV, mais derrière il y a (devrait avoir) des contrôles plus sévères )


Je suis d'accord que le "inconnu" et "Ce site Web ne fournit pas d'informations concernant son identité." ne sont pas tout à fait corrects et devrait plutôt être "non vérifié". Mais bon, c'est du détail, l'important c'est qu'avec un EVC, tu as une certitude légale que c'est effectivement bien le propriétaire du site (à condition de faire confiance à l'autorité, évidemment, mais il faut bien faire confiance à quelqu'un à un moment).

[danyb]

Non avec un EV tu n'as aucune certitude supplémentaire. AUCUNE !

Faites une simulation sur n'importe quel site de certificat SSL avec ou sans EV.

La seule différence et le montant du chèque.

Si il y a un génie qui peu m'expliquer pourquoi Verisign dit dans son sceau avec un certificat SSL basique :

Identité vérifiée : TOTO-MACHIN a été authentifié en tant que propriétaire ou opérateur du site Web dont l'URL est www.tot-machin.fr. Des documents officiels confirment la validité de l'activité commerciale de TOTO-MACHIN.

Et pourquoi Firefox 3 (subitement) dit le contraire en disant inconnu, alors que Norton 360 dans dit aussi la même chose que le sceau de verisign, en disant barre vert site de confiance. Je suis preneur.

Je vais finir par contacter l'AFP pour leur donner ma version des faits, en leur expliquant, preuve à l'appui que Firefox à un GROS bug de sécurité en ne publiant pas la totalité des informations des certificats, car pour l'instant je n'ai aucune réponse de Mozila france à mon email.

Les banques qui ont de spécialistes sécurités non pas de certificat EV et pour cause ils savent très bien que c'est de la daube.

[morine]

En résumé:
business is business.
What else ?

[teoli2003]

Non avec un EV tu n'as aucune certitude supplémentaire. AUCUNE !

Tu n'as rien compris. Un certificat vaut ce que garantit le CA et rien de plus.

(parfaitement sûr = qui garantit que celui qui a demandé le certificat est celui qu'il prétent être dedans).

Tu peux avoir un certificat auto-signé parfaitement sûr (Ma banque en a utilisé très longtemps, ils transmettaient le hash à contrôler manuellement).
Tu peux avoir un certificat DV parfaitement sûr.
Tu peux avoir un certificat EV parfaitement pas sûr.

Tout dépend de la politique d'émission du CA.

Il se trouve que pour un certificat DV normal, la politique d'émission c'est "On la donne si la personne nous prouve qu'il contrôle le nom de domaine.", et pas si la société indiquée est celle contenue dans le certificat.

Pour un certificat EV, la politique c'est "On la donne si la personne nous prouve qu'il contrôle le nom de domaine et si la société indiquée est celle contenue dans le certificat."

Mozilla vérifie que le CA suit bien l'une ou l'autre des politiques avant inclusion (et après) à l'aide d'audits.

Certificat DV -> Bouton bleu (site vérifié, société pas vérifiée)
Certificat EV -> Bouton vert (site vérifié, société vérifiée)

Maintenant si quelqu'un paie pour un certificat DV en voulant un certificat EV, tant pis pour lui.

Tiens nous au courant pour ta communication à l'AFP.

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9) Gecko/2008052906 Firefox/3.0

[danyb]

teoli2003 absolument pas d'accord... la majorité des certificats apache CA ne sont pas sur car pas mis à jour.

Oublions un instant le EV (j'ai l'impression que je ne parle par français, c'est vrai pour l'ortho... mais bon)

Dans un certificat basique la société qui a demander le certificat est inclue en dur dans le certificat (Voir plus haut) l'exemple de la BNP. Il n'est donc pas inconnu puisque sont nom et sont adresse est inclus en dur dans le certificat.

Si j'explique ça a un gosse de 5 ans il va comprendre

Tous les navigateurs de la planète lisent cette information sauf un Firefox 3... qui dit ne pas lire cette information. Le EV (300% marketing) est en fait une autre histoire sans aucun intérêt sauf celui de la gloriole. Aucun certificateur n'a les même exigences de demande de document, de plus dans chaque pays la preuve d'existence change. Le numero D-U-N-S n'est pas reconnu en France. Les preuves ce font par fax (facilement falsifiable) etc etc etc

Pour l'AFP j'attends les réactions de principales banques française que j'ai contacter...

Etant un pionnier du e-commerce en France, je suis habitué au coup dur celui ci en est un...

[danyb]

teolia2003 pardon j'avais pas tout lu

Il se trouve que pour un certificat DV normal, la politique d'émission c'est "On la donne si la personne nous prouve qu'il contrôle le nom de domaine.", et pas si la société indiquée est celle contenue dans le certificat.

FAUX il y a les deux contrôles nom de domaine et K-bis du moins chez verisign. J'achète mes SSL normaux depuis 1997 chez eux.

[teoli2003]

Dans un certificat basique la société qui a demander le certificat est inclue en dur dans le certificat (Voir plus haut) l'exemple de la BNP. Il n'est donc pas inconnu puisque sont nom et sont adresse est inclus en dur dans le certificat.

Ben oui et non. Il est inconnu parce qu'il n'y a aucune preuve. On peut tout à faire faire un certificat Geckozone.org avec comme nom de société BNP.

Maintenant si tu veux mettre un autre texte du genre "par une société prétendant être BNP mais le CA n'a pas vérifié", tu peux faire la demande. L'exemple du certificat falsifié de Microsoft est un exemple d'une très longue liste.

(Inconnu) n'est sûrement pas très parlant. Et perso je suis pour afficher le nombre de visites faites à ce site directement dans cette fenêtre.

Si je suis allé 1000x sur Amazon et que cela me dis 0x, je vais tout de suite me poser la question: "Suis-je au bon endroit"?

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9) Gecko/2008052906 Firefox/3.0

[Invité]

teoli2003, encore pas d'accord

Si tu obtiens un certificat Geckozone.org avec comme nom de société BNP le certificateur te demanderas une preuve de l'existence de BNP. Et aura vérifié que le nom de domaine est bien enregistré par BNP.

Donc BNP sera connu avec une existence légale. De plus le certificat CA contient obligatoirement cette information qui est bien lu par tout le monde sauf Firefox 3

Inconnu n'est pas parlant tu dis, c'est même pas ça, c'est FAUX.



Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9) Gecko/2008052906 Firefox/3.0