Des certificats frauduleux créés pour Google.com

Encore un coup dur pour le système de certificats SSL/TLS actuel :

Google a détecté dans la journée du 24 décembre l’existence d’un certificat frauduleux pour les domaines *.google.com.
En effet ce certificat n’a pas été créé par Google mais est valide dans le sens où il a été créé par une sous-autorité de certification dépendant d’un CA considéré sûr jusqu’à présent.

A l’origine de ce merdier se trouve l’autorité de certification TURKTRUST. Elle aurait issue par erreur (d’après TURKTRUST) deux certificat d’autorité de certification au lieu de deux certificats simples pour le gouvernement turc (*.EGO.GOV.TR et e-islem.kktcmerkezbankasi.org).
Ces deux certificats ont ensuite permis de créer un certificat frauduleux pour *.google.com.

A l’heure actuelle très peu d’infos sont disponibles sur le sujet. On ne sait pas si c’est un coup du gov turc, si l’erreur de TURKTRUST n’est pas volontaire etc.
Les sous-certificats (*.EGO.GOV.TR et e-islem.kktcmerkezbankasi.org) font bien sûr être bannis par les différents navigateurs mais on ne sait pas si TURKTRUST aura une punition pour cette erreur…

L’article de KrebsOnSecurity, l’article de ZeroDay

Une réflexion au sujet de « Des certificats frauduleux créés pour Google.com »

Les commentaires sont fermés.