YASSLF (Yet Another SSL Fail)

A quoi bon générer des certs de 1024 ou 2048 octets ? Ça prend du temps, ça consomme du CPU… et puis qui le découvrira ?

C’est peut-être ce qu’a du se dire les n00bz de chez Digicert Malaysia, une autorité de certification intermédiaire qui avait elle-même été certifié par EnTrust

En effet chez Digicert Malaysia, ils ont issu des certificats basés sur des clés privés faibles de 512 bits alors que selon la page Wikipedia RSA (section sécurité), il est à l’heure actuelle courant d’utiliser des clés de 2048 bits pour avoir l’esprit tranquille.

Le genre de bourde qui ne pose pas de problème pour un particulier ayant envie de s’amuser un peu avec des clés GPG mais carrément grave pour un CA qui destine ces clés à un gouvernement !

Bien qu’aucun piratage ne semble avoir eu lieu dans cette affaire (contrairement à Diginotar), EnTrust ainsi que différents navigateurs ont déjà révoqué la confiance envers ce CA qui risque bien de finir comme Diginotar (la clé sous la porte).

3 réflexions au sujet de « YASSLF (Yet Another SSL Fail) »

  1. Un article intéressant de Fox-IT, la boite qui a audité Diginotar et GlobalSign, sur l’origine de ces certificats cassés :

    http://blog.fox-it.com/2011/11/21/rsa-512-certificates-abused-in-the-wild/

    Deux points :
    * selon eux il suffit à l’heure actuelle de quelques semaines pour factoriser une clé de 512 bits (d’ailleurs ya une bourde dans l’article de d4n3ws sur octets/bits)
    * les attaquants auraient tout simplement scanné le web sur le port 443 pour trouver des certificats faibles et les utiliser + tard pour signer des exécutables.

Les commentaires sont fermés.