Certificate revocation : Why browsers remain affected by Heartbleed | Netcraft

jeudi 8 mai 2014
par  clx_asso_fr (@clx_asso)
popularité : 1%

Certificate revocation : Why browsers remain affected by Heartbleed | Netcraft
http://news.netcraft.com/archives/2014/04/24/certificate-revocation-why-browsers-remain-affected-by-heartbleed.htm

More than 80,000 SSL certificates were revoked in the week following the publication of the Heartbleed bug, but the certificate revocation mechanisms used by major browsers could still leave Internet users vulnerable to impersonation attacks. Little has changed since Netcraft last reported on certificate revocation behaviour.
Why is revocation necessary ?

The Heartbleed bug made it possible for remote attackers to steal private keys from vulnerable servers. Most web server access logs are unlikely to show any evidence of such a compromise, and so certificates used on previously-vulnerable web servers should be replaced without delay.

However, even if the certificate is replaced, the secure site could still be vulnerable. If the pre-Heartbleed certificate had been compromised, it will remain usable by an attacker until its natural expiry date, which could be years away. A correctly positioned attacker, with knowledge of the old certificate’s private key and the ability to intercept a victim’s internet traffic, can use the old certificate to impersonate the target site.

Certificate authorities can curtail the lifetime of the compromised certificate by revoking the certificate. In principle, a revoked certificate should not be trusted by browsers, which would protect users from misuse of the certificate. The realities of revocation behaviour in browsers, however, could leave some internet users vulnerable to attack with compromised certificates.

The Heartbleed bug is currently the largest cause of certificate revocations, but other reasons for revoking certificates can include the use of weak signature algorithms, fraudulent issuance, or otherwise breaching the requirements laid out by the CA/Browser Forum.



Commentaires

Annonces

Annuaire LibreNord

Retrouvez l’annuaire de logiciels libres créé par l’association Club Linux Nord-Pas de Calais sur le site suivant http://www.librenord.org


Sur le Web

19 avril - Découvrez la bande-annonce de l'émission « Libre à vous ! »

19 avril - L'April présente à l'Ubuntu Party des 18 et 19 mai 2019 à Paris 19e

18 avril - L'April demande la publication du SILL 2019 et la feuille de route de la DINSIC

17 avril - Émission « Libre à vous ! » sur radio Cause Commune (23 avril 2019)

17 avril - Apéro April le 17 mai 2019 à Marseille

16 avril - « Libre à vous ! » diffusée mardi 16 avril 2019 sur radio Cause Commune - CHATONS - Transcriptions - Chronique juridique

15 avril - Décryptualité du 15 avril 2019 - Assange aux mains de la justice britanique

15 avril - Le Conseil de l'Union Européenne valide le filtrage automatisé des contenus mis en ligne

15 avril - Revue de presse de l'April pour la semaine 15 de l'année 2019

15 avril - Libre à vous ! Radio Cause Commune - Transcription de l'émission du 9 avril 2019

13 avril - Comment se fabriquent les fake news - Antonio Casilli - L'instant M

12 avril - Directive droit d’auteurs - Martin Drago sur Alterpresse68

12 avril - Directive droit d’auteur - Martin Drago sur Alterpresse68

12 avril - Chaîne YouTube e-penser face au rouleau compresseur des ayants droit - Décryptualité du 8 avril 2019

11 avril - Émission « Libre à vous ! » sur radio Cause Commune (16 avril 2019) - CHATONS - Transcriptions - Chronique juridique

10 avril - Libre en Fête : record d'événements proposés

10 avril - Appel de Serge Tisseron sur l’utilisation raisonnée des technologies numériques

10 avril - Nouvelle version de firefox plus anonyme

9 avril - Émission « Libre à vous ! » diffusée mardi 9 avril 2019 sur radio Cause Commune - Wikipédia – chronique « Partager est bon » sur écoles et logiciels libres - directive droit d'auteur

9 avril - Libre à vous ! Radio Cause Commune - Transcription de l'émission du 2 avril 2019