Mozilla rappelle à l'ordre les autorités de certification SSL

La fondation donne jusqu'au 16 septembre aux autorités de certification pour renforcer leurs dispositifs de sécurité. Mais, Mozilla n'évoque pour l'heure aucune sanctions.

Suite au vol de certificats SSL par un pirate (lire l'article du 07/09/2011 : Faux certificats SSL Diginotar : le pirate de Comodo revendique l'attaque), Mozilla hausse le ton dans une note de sécurité. La fondation donne une semaine aux autorités de certification pour revoir leurs systèmes de sécurité. Elle n'entend plus prendre le risque de mettre les utilisateurs de Firefox en danger face à des groupes de pirates capables de percer les sites et services Web chiffrés en SSL.

Après les piratages de deux autorités de certification (Comodo en mars et DigiNotar en août), Mozilla demande aux autorités de certification d'auditer leurs systèmes de clés publiques, et mettre en place une série de procédures de sécurité : renforcer les systèmes automatiques de blocage en cas de fraude, limiter l'usage de certificats à une liste de domaines autorisés, rendre l'authentification multi-facteurs obligatoire pour les comptes capables de diffuser des certificats, et surtout envoyer à Mozilla les noms des tiers habilités à diffuser des certificats.

Dans le cas où cet ultimatum ne serait pas suivi d'effets, Mozilla affirme être prêt à prendre des décisions drastiques. "La participation à notre programme root est à notre seule discrétion, et nous sommes prêts à prendre les mesures qui s'imposent pour préserver la sécurité de nos utilisateurs", prévient la fondation.