Firefox 3 : Catastrophique barre d’adresse avec https

[danyb]

Pourquoi Firefox 3 tombe t’il dans le panneau des certificats EV 200% marketing.
Le EV n’apporte aucune garanti supplémentaire par rapport a un certificat SSL normal 128 bits.
Maintenant dans Firefox 3 la plupart des adresses SSL sont en bleu et donc indique un détenteur inconnu ce qui est totalement faux pour in certificat SSL valide.

Pour obtenir un certificat SSL valide il faut que l’entreprise est était vérifiée

Mes banques affiches des détenteurs inconnus ???????????

A quand un update d’urgence ?

Pour l’instant je déconseille vivement le passage à Firefox 3 à mes 8542 clients.


Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9) Gecko/2008052906 Firefox/3.0

[The RedBurn]

Voir http://en.wikipedia.org/wiki/Extended_V ... ertificate

La crédibilité des certificats SSL standards a diminué depuis que certains sites frauduleux parviennent à en avoir pour le domaine.

Si un site de phishing dont l'adresse est mabanque.secure.com (au lieu de secure.mabanque.com) obtient un certificat SSL, avec Firefox 2 l'utilisateur se croira en sécurité (si le site n'a pas été signalé comme site de phishing).

Avec Firefox 3, si le site officiel a un certificat EV, le nom de la banque (mabanque s.a.) sera indiqué sur fond vert.

[teoli2003]

Maintenant dans Firefox 3 la plupart des adresses SSL sont en bleu et donc indique un détenteur inconnu ce qui est totalement faux pour in certificat SSL valide.

Euh non, c'est correct. Un certificat SSL ne garantit pas l'identité réelle de l'utilisateur. Seulement que c'est bien le nom de domaine auquel on se connecte qui répond.

Un certificat SSL permet de savoir si c'est microsoft.com qui répond, mais pas si c'est Microsoft Corp. qui le fait. C'est néamoins largement suffisant en général.

L'aspect EV ajoute ce niveau (pour autant que l'on fasse confiance à l'émetteur du certificat bien sûr).

D'ailleurs les certificats normaux apparaissent en bleu et si on clique dessus on a:

Vous êtes connecté à microsoft.com qui est possédé par (unknown).

(Traduction libre, j'ai une version en-US là.

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9) Gecko/2008052906 Firefox/3.0

[danyb]

Je ne suis pas d'accord avant avec la version 2 la barre d'adresse était en jaune signifiant que l'on été sur un site sécurisé, ce qui est l'essentiel.
Un site pirate ne peux pas utiliser un nom de domaine en https.
Avec le carré bleu ont met un doute dans l'esprit de l'internaute en disant vous êtes bien sur un site sécurisé mais ont sait pas qui est derrière, ce qui est faux. De plus chaque vérificateur (barre des taches) ne sont pas d'accord entre eux sur la validé des sites
Les exemple de la banque sont significatif ils refusent et moi aussi de payer plus 980 euros pour un seul certificat EV au lieu de 180 euros pour un certificat SSL.
Je suis obligé de communiquer cette information à mes clients (site VAD) pour leur dire qu'il y a une anomalie, mon nom de domaine étant le même que le nom de l'entreprise.
Avec le sceau verisign la vérification de l'entreprise et du certificat SSL s'affiche bien avec un certificat normal.
Exemple ici http://www.caroline-b.fr/index2.php alors que le même site en SSL donne une barre bleue.
Si l'on examine le certificat du site l'on à bien le nom et l'adresse du propriétaire dans le sujet du détail du certificat.
Ex :
CN = www.caroline-b.fr
OU = Member, VeriSign Trust Network
OU = Authenticated by VeriSign
OU = Terms of use at www.verisign.fr/rpa (c)05
O = Caroline B
L = BORDES
ST = FR
C = FR

Il y a bien donc un BUG énorme dans Firefox 3[/b]

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9) Gecko/2008052906 Firefox/3.0

[calimo]

Un site pirate ne peux pas utiliser un nom de domaine en https.

N'importe quoi ! Bien sûr que si ! N'importe qui peut utiliser https (même Geckozone : https://www.geckozone.org/)

[teoli2003]

Le certificat ne garantit pas que c'est la société Caroline B qui est derrière: si tu regardes les conditions générales de Verisign, pour un certificat de ce type, il se contente de peu.

D'ailleurs, ils en avaient même sorti un de Microsoft a une société tierce qui l'avait demandé.

Donc Firefox fait la différence: bleu pour les sites utilisant https avec un certificat (garantissant que c'est un site donné, mais pas une société X), vert pour ceux qui garantissent le propriétaire du site.

Je vois pas de bug, deux éléments différents, deux couleurs différentes.
Suppression également du cadenas qui faisait croire à tors "Je ne risque rien mais sans contrôler le propriétaire".

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9) Gecko/2008052906 Firefox/3.0

[danyb]

Calimo click sur https://www.geckozone.org/ avec Firefox 3 et tu verras le résultat, ce certificat SSL N'EXISTE PAS ou correspond pas au site mais a 100% au serveur du domaine et là je suis d'accord, mais uniquement là.

Teoli2003 Verisign demande une foule de document officiel pour avoir un certificat SSL notamment un extrait K bis pour les entreprises.

Il faudrait peut être arrêté les paranoïa galopantes, casser un certificat 128 bits n'est pas à la porté du premier venu, le nombre de gens sur la planète et obligatoirement réduit, qui aurait les puissance de calcul nécessaire ?.

Pour l'instant on gavent les certificateurs en tombant dans ce panneau de la surenchère des EV c'est du markéting, du bleuf, dommage que Firefox face la même chose. VRAIMENT TRES DECU



Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9) Gecko/2008052906 Firefox/3.0

[calimo]

Effectivement Geckozone est un mauvais exemple. N'empêche que n'importe qui peut créer son propre certificat (même si je suis un peu à court d'exemples).

Il faudrait peut être arrêté les paranoïa galopantes, casser un certificat 128 bits n'est pas à la porté du premier venu, le nombre de gens sur la planète et obligatoirement réduit, qui aurait les puissance de calcul nécessaire ?.

Il ne s'agit pas ici de se protéger contre la "casse" du certificat, mais contre l'émission d'un certificat pour un site similaire.

N'importe qui peut se faire émettre un certificat, c'est gratuit chez certaines autorités de certification. Si le site de ta banque est mabanque.com, rien n'empêche quelqu'un de réserver le domaine madanque.com, de faire émettre un certificat 100% valable pour madanque.com. Si c'est quelqu'un de malveillant, il est alors très simple de faire croire aux pigeons qu'il s'agit de mabanque.com.

Ici j'ai pris b et d, qui sont simplement similaires, mais avec les homoglyphes unicode, on peut faire des choses très sympathiques (ok, c'est contourné, mais bon... )

Les certificats EV permettent d'éviter ça, au moins en partie

[danyb]

Calimo, je suis bien d'accord, mais il faudrait que Firefox 3 aille jusqu'au bout de la lecture de certificat pour trouver en simple lecture les informations CONTENUES dans le certificat je n'en demande pas plus.

Un exemple simple :
https://www.secure.bnpparibas.net (la barre et bleu et c'est normal il ne veulent pas goinfré les certificateurs)
Par contre si tu cliques sur le carré bleu tu obtiens : Ce site web ne fournit pas d'informations concernant son identifié, ce qui est ABSOLUMENT FAUX
Car à l'intérieur du certificat en faisant
- afficher le certificat
- Détails
- Puis lire dans champs du certificat à la ligne Sujet
tu peux lire :
CN = www.secure.bnpparibas.net
OU = ITP - BAM CANAUX
O = BNP PARIBAS
L = PARIS
ST = PARIS
C = FR
FIREFOX 3 NE LIS PAS LA LIGNE O, L et les lignes ST et C
Qui correspondent à
O = Organisme propriétaire du certificat
L = Lieu de l'entreprise
ST = département (states aux USA)
C = FR pour France

Donc Firefox 3 ne va pas jusqu'au bout de la lecture et de ce fait publie de fausses informations en disant inconnu.
CQFD
Calimo dis moi comment tu peux modifier les informations contenu dans le certificat et qui sont présentes dans TOUS les certificats.

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9) Gecko/2008052906 Firefox/3.0

[The RedBurn]

An important motivation for using digital certificates with SSL was to add trust to online transactions by requiring website operators to undergo vetting with a certificate authority (CA) in order to get an SSL certificate. However, commercial pressures have led some CAs to introduce "domain validation only" SSL certificates for which minimal verification is performed of the details in the certificate.

Most browsers' user interfaces do not clearly differentiate between low-validation certificates and those that have undergone more rigorous vetting. Since any successful SSL connection causes the padlock icon to appear, users are not likely to be aware of whether the website owner has been validated or not. As a result, fraudsters (including phishing websites) have started to use SSL to add credibility to their websites.

En résumé, ça dit que suite aux pressions commerciales, les authorités de certification ont commencé à émettre des certificats qui certifiaient uniquement le domaine. Le problème, c'est que les navigateurs ne font pas la différence entre les certificats qui ont nécessité une vérification du propriétaire et ceux pour lesquels cette vérification n'a pas eu lieu.

Je n'ai aucune idée de la façon de différentier les certificats sûrs des non-sûrs, mais, s'il y a un moyen, il serait intéressant que Firefox assimile ces certificats aux certificats EV.

[danyb]

The RedBurn... enfin un une réaction cohérente, bravo pour ta perspicacité

Pour ma part tous les sites verisign que j'ai contrôlés ont l'information du propriétaire inscrite dans le certificat lui même, comme je l'ai démontré ci-dessus.

Je signale au passage qu'il y a une panique générale en moins de 24h avec ce problème. Plus personne (les internautes lambda) ne sait si les sites sont vrais ou pas, si les certificat SSL sont cohérent ou pas, voir ici même certains posts sur le sujet...

Mes clients me demande ce qui se passe sur le site sécurisé, heureusement certain utilisent encore IE pour ma part j'ai le sceau verisign qui sauve un peu la situation, il suffit de cliquer dessus pour avoir l'information dans sa totalité, nom du site sécurisé plus nom de proprio du certificat, et pas seulement une partie comme dans Firefox 3.

Pour info je suis dans le bain depuis 1996 et j'ai connu tous les sites de commerces sans certificat SSL et curieusement nous sommes toujours vivant...

[danyb]

Petite cerise sur le gâteau : le site de Google Gmail a un propriétaire de certificat inconnu... MDR

Et pourtant le certificat dit :

CN = www.google.com
O = Google Inc
L = Mountain View
ST = California
C = US

Hilarant !!!!

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9) Gecko/2008052906 Firefox/3.0

[Benoit]

Pour ma part tous les sites verisign que j'ai contrôlés ont l'information du propriétaire inscrite dans le certificat lui même, comme je l'ai démontré ci-dessus.

La société qui a accordé des certificats « Microsoft Corporation » à un inconnu est précisément Verisign.

[danyb]

Désoler je ne connais pas l'histoire... de Microsoft !

J'ai des certificats SSL Verisign depuis qu'ils existent et l'on ma toujours demander un tas de preuves de l'existence de ma société.

Au départ seul Verisign USA distribuer les certificats, ils appelaient au téléphone des états unis, chaque propriétaire pour vérifier manuellement et verbalement si les informations fournis étaient cohérentes, la procédure d'origine prenait plus de 8 jours.

Cette procédure existe toujours de nos jours. A l'époque il fallait même un acte notarié en plus des preuves d'adresses et d'existence de la société.

[teoli2003]

J'ai acheté des certificats pour des sociétés et je n'ai jamais eu besoin d'aces notariés. Un simple fax a toujours suffit.

Les contrôles ont rien à voir avec ceux d'un certificat EV. Et un simple faux ans les titres suffit largement pour avoir un certificat au nom d'une compagnie pas trop connue aux USA.

Et comme ceux qui font ça s'assoient justement sur les lois.

Les contrôles des certificats EV évitent justement ce genre de manip.

Enfin, c'est pas grave, les certificats normaux apparaissent en bleu et indiquent qu'ils garantissent le domaine, les EV en vert et indiquent qu'ils garantissent le domaine et le propriétaire. C'est comme cela. Tu peux faire changer l'affichage un peu (nom du domaine dans le bouton bleu) dans le about:config si tu trouves que c'est pas assez visible.


Message envoyé avec : Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.5; fr-FR; rv:1.9.1a1pre) Gecko/2008061802 Minefield/3.1a1pre