Certificate revocation : Why browsers remain affected by Heartbleed | Netcraft

jeudi 8 mai 2014
par  clx_asso_fr (@clx_asso)
popularité : 1%

Certificate revocation : Why browsers remain affected by Heartbleed | Netcraft
http://news.netcraft.com/archives/2014/04/24/certificate-revocation-why-browsers-remain-affected-by-heartbleed.htm

More than 80,000 SSL certificates were revoked in the week following the publication of the Heartbleed bug, but the certificate revocation mechanisms used by major browsers could still leave Internet users vulnerable to impersonation attacks. Little has changed since Netcraft last reported on certificate revocation behaviour.
Why is revocation necessary ?

The Heartbleed bug made it possible for remote attackers to steal private keys from vulnerable servers. Most web server access logs are unlikely to show any evidence of such a compromise, and so certificates used on previously-vulnerable web servers should be replaced without delay.

However, even if the certificate is replaced, the secure site could still be vulnerable. If the pre-Heartbleed certificate had been compromised, it will remain usable by an attacker until its natural expiry date, which could be years away. A correctly positioned attacker, with knowledge of the old certificate’s private key and the ability to intercept a victim’s internet traffic, can use the old certificate to impersonate the target site.

Certificate authorities can curtail the lifetime of the compromised certificate by revoking the certificate. In principle, a revoked certificate should not be trusted by browsers, which would protect users from misuse of the certificate. The realities of revocation behaviour in browsers, however, could leave some internet users vulnerable to attack with compromised certificates.

The Heartbleed bug is currently the largest cause of certificate revocations, but other reasons for revoking certificates can include the use of weak signature algorithms, fraudulent issuance, or otherwise breaching the requirements laid out by the CA/Browser Forum.


http://seenthis.net/messages/253662

Commentaires

Annonces

Annuaire LibreNord

Retrouvez l’annuaire de logiciels libres créé par l’association Club Linux Nord-Pas de Calais sur le site suivant http://www.librenord.org


Sur le Web

16 septembre - 1ères rencontres Herpéto des Hauts de France

15 septembre - Revue de presse de l’April pour la semaine 37 de l’année 2025

15 septembre - « Libre à vous ! » sur radio Cause Commune (16 septembre 2025)

15 septembre - Combien coûte en moyenne une assurance auto pour une petite citadine en 2025 ?

12 septembre - #253 - Migrer de Windows vers un système libre sur le poste de travail - « Libre à vous ! » diffusée mardi 9 septembre 2025 sur radio Cause Commune

11 septembre - Les Cigales Hauts de France recrute un·e Chargé·e de développement

8 septembre - Revue de presse de l’April pour la semaine 36 de l’année 2025

2 septembre - La CLCV-UD recrute un·e Chargé·e de mission Développement Associatif

1er septembre - Bilan du groupe Transcriptions : 16 transcriptions publiées en août 2025

1er septembre - Lettre d'information publique de l'April du 1er septembre 2025

1er septembre - Revue de presse de l’April pour la semaine 35 de l’année 2025

29 août - L'April présente avec un stand à la Fête de l'Huma - 12, 13 et 14 septembre 2025 à la Base 217 (Essonne)

29 août - Soirée « radio ouverte » au studio de Cause Commune vendredi 5 septembre 2025 à 19 h 30

28 août - Migrer de Windows vers un système libre, rendez-vous dans Libre à vous ! mardi 9 septembre 2025

26 août - Solaire en Nord fête ses 20 ans !

25 août - Revue de presse de l’April pour la semaine 34 de l’année 2025

11 août - Revue de presse de l’April pour la semaine 32 de l’année 2025

3 août - Bilan du groupe Transcriptions : 14 transcriptions publiées en juillet 2025

1er août - Lettre d'information publique de l'April du 1er août 2025

31 juillet - Souveraineté numérique : pas de pilote à la commande publique !