Après Google, Mozilla rejette les certificats de la CNNIC
mer, 08/04/2015 - 14:23
Mozilla a décidé d'emboîter le pas à Google dans l'affaire des certificats SSL de la CNNIC, l'autorité de certification chinoise.
L'affaire a été déclenchée par un faux certificat SSL estampillé Google qui a été généré par la société MCS Holdings. Cette société est une autorité intermédiaire de certification égyptienne à qui la CNNIC a délégué son autorité.
Ce faux certificat a ensuite été utilisé pour des attaques de type Homme du milieu pour ne pas dire Homme de l'empire du milieu :-)
Argumentant que si les autorités de certification se mettent à faire n'importe quoi on n'est plus sûr de rien sur Internet, Google a mis à jour son navigateur Chrome afin que celui-ci émette un avertissement de sécurité aux internautes surfant sur un site sécurité par SSL, dont le certificat racine est de la CNNIC.
Une décision que la CNNIC a qualifiée d'incompréhensible et d'inacceptable.
Une décision qui est au moins comprise par Mozilla. Après des débats et discussions approfondis, la fondation a pris la décision de faire comme Google. Elle a mis à jour ses produits afin que ceux-ci émettent un avertissement de sécurité lorsqu'ils renconrent un certificat ayant une date notBefore du 1er avril 2015 ou ultérieure.