Certificate revocation : Why browsers remain affected by Heartbleed | Netcraft

jeudi 8 mai 2014
par  clx_asso_fr (@clx_asso)
popularité : 1%

Certificate revocation : Why browsers remain affected by Heartbleed | Netcraft
http://news.netcraft.com/archives/2014/04/24/certificate-revocation-why-browsers-remain-affected-by-heartbleed.htm

More than 80,000 SSL certificates were revoked in the week following the publication of the Heartbleed bug, but the certificate revocation mechanisms used by major browsers could still leave Internet users vulnerable to impersonation attacks. Little has changed since Netcraft last reported on certificate revocation behaviour.
Why is revocation necessary ?

The Heartbleed bug made it possible for remote attackers to steal private keys from vulnerable servers. Most web server access logs are unlikely to show any evidence of such a compromise, and so certificates used on previously-vulnerable web servers should be replaced without delay.

However, even if the certificate is replaced, the secure site could still be vulnerable. If the pre-Heartbleed certificate had been compromised, it will remain usable by an attacker until its natural expiry date, which could be years away. A correctly positioned attacker, with knowledge of the old certificate’s private key and the ability to intercept a victim’s internet traffic, can use the old certificate to impersonate the target site.

Certificate authorities can curtail the lifetime of the compromised certificate by revoking the certificate. In principle, a revoked certificate should not be trusted by browsers, which would protect users from misuse of the certificate. The realities of revocation behaviour in browsers, however, could leave some internet users vulnerable to attack with compromised certificates.

The Heartbleed bug is currently the largest cause of certificate revocations, but other reasons for revoking certificates can include the use of weak signature algorithms, fraudulent issuance, or otherwise breaching the requirements laid out by the CA/Browser Forum.


http://seenthis.net/messages/253662

Commentaires

Agenda

<<

2017

>>

<<

Avril

>>

Aujourd’hui

LuMaMeJeVeSaDi
     12
3456789
10111213141516
17181920212223
24252627282930

Annonces

Annuaire LibreNord

Retrouvez l’annuaire de logiciels libres créé par l’association Club Linux Nord-Pas de Calais sur le site suivant http://www.librenord.org


Sur le Web

30 avril - Projet AbulÉdu : soyez généreux \o/

29 avril - #206 - Retour d’expérience logiciels libres au lycée Carnot - « Libre à vous ! » diffusée mardi 23 avril 2024 sur radio Cause Commune

29 avril - Revue de presse de l’April pour la semaine 17 de l’année 2024

29 avril - « Libre à vous ! » sur radio Cause Commune (30 avril 2024)

29 avril - Soirée-rencontre avec l'équipe de radio Cause Commune vendredi 3 mai 2024 à 19 h 30

26 avril - « Libre à vous ! » sur radio Cause Commune (30 avril 2024)

24 avril - Transcription et syndrome de la page blanche

22 avril - Interview April par MiXiT On Air

22 avril - La LPO Hauts de France recrute pour plusieurs programmes et projets ! (offres d'emplois et stages)

22 avril - #204 - Au café libre - Une cool AG - L’humanité, c’est surfait - « Libre à vous ! » diffusée mardi 26 mars 2024 sur radio Cause Commune

22 avril - Revue de presse de l’April pour la semaine 16 de l’année 2024

22 avril - Salon du livre d'expression Populaire et de critique sociale - 1er mai à Arras

22 avril - Et Demain ?

20 avril - Dates des prochaines permanences de la LDH à la MRES

19 avril - Rencontre Afpy avec Luciano Ramalho

19 avril - Les services en ligne, libres et loyaux de notre Chapril : utilisez-les, parlez-en autour de vous

17 avril - L'Apes recrute son Assistant.e et animateur.rice de réseau

16 avril - #205 - Les évolutions majeures dans la gouvernance des logiciels libres - « Libre à vous ! » diffusée mardi 2 avril 2024 sur radio Cause Commune

16 avril - Rencontre d'auteur autour du livre "Penser avec la frontière"

15 avril - Revue de presse de l’April pour la semaine 15 de l’année 2024