En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 20/03/2018
    Mobility Meetings, toutes les solutions mobiles

    Lancement d’un nouveau salon Mobility Meetings, qui aura lieu à Cannes les 20, 21 et…

    en détail En détail...
  • 14/03/2018
    IT Partners, le rendez-vous de la communauté des décideurs du channel IT

    Le rendez-vous de la communauté des décideurs du channel IT français ouvrira ses portes les 14 et…

    en détail En détail...
Appels d'offres en cours
  • Création d'un site eCommerce pour la vente d'édition de revues et périodiques
    < 3 000 €
    > En savoir plus
  • Modéliste pour la gradation de patrons pour des vêtements de femmes
    A déterminer €
    > En savoir plus
  • Création d'un site e-commerce pour la vente de montures
    < 1 500 €
    > En savoir plus
Arcaneo_Congres DSI 2018_leaderboard

Let’s Encrypt désactive le protocole « TLS-SNI-01 validation » en raison d’une vulnérabilité

GlobalK_Lean_pave
L’autorité de certification Let’s Encrypt désactive « TLS-SNI-01 validation » après la découverte d’une attaque capable de détourner des certificats utilisant ce protocole.
Let’s Encrypt est une autorité de certification lancée le 3 décembre 2015, qui fournit gratuitement les certificats SSL et TLS (connexions chiffrées en HTTPS) aux administrateurs web. Il y a peu de temps, elle a franchi les 177 millions de certificats. Après avoir reçu un rapport de Frans Rosén, professionnel de la sécurité et chasseur de bug, soulignant que le système TLS-SNI-01 pouvait être détourné, elle l’a désactivé. Selon l’expert, il est possible d’exploiter le protocole pour obtenir des certificats pour des domaines que vous ne possédez pas. « À l’heure actuelle, nous croyons que le problème peut être résolu en demandant à certains fournisseurs de services de mettre en place des contrôles plus rigoureux pour les domaines hébergés sur leur infrastructure« , a indiqué l’organisation le 11 janvier. « La seule chose que les entreprises peuvent faire pour se protéger est de rester vigilantes dans le contrôle de certificats malveillants. Le problème est que la grande majorité des entreprises de disposent pas de la technologie leur permettant de le faire », a commenté Hari Nair, directeur de la recherche cryptographique chez Venafi. « Il est possible qu’il y ait une vague de révocation en réponse à cet évènement. La réalité est que le dépistage de certificats frauduleux est extrêmement difficile et contrôler le statut de révocation n’est pas quelque chose que le secteur a mené à bien jusqu’à présent. Donc pour l’instant, on ne peut pas savoir quel sera l’impact des révocations. » 
L’expert précise que Google va exiger la norme « Certificate Transparency » [NDLR : qui soumet les autorités de certification à un système d’audit communautaire de certificats TLS/SSL] pour tous les certificats, en incluant les DV Certificates [NDLR : il existe trois types de certificats dont ceux Domain Validation], ce qui aidera à faire émerger ce type de problèmes plus tôt. Cependant, rien ne sera fait en ce sens avant avril 2018. 

Auteur : Juliette Paoli

Let’s Encrypt désactive le protocole « TLS-SNI-01 validation » en raison d’une vulnérabilité
Notez cet article

Laisser un commentaire

GDPR VS ISO

L’apport de la gestion des accès à privilèges (PAM) à la conformité réglementaire.Une cartographie comparative. Lire le livre blanc

Lire le livre blanc

Sondage

RGPD : ETES-VOUS PRÊT ? Le Règlement Général sur la Protection des Données entre en application le 25 mai 2018.

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • Cybersécurité : le projet de loi de transposition de la directive NIS adopté en 1ère lecture

    Présenté au Sénat par le secrétaire d’Etat au Numérique, Mounir Mahjoubi, le projet de loi…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Expertise - "La méthode CRISP, une solution pour réussir vos projets Big Data", Alianor Sibai, mc2i Groupe

    Seuls 15% des projets Big Data atteindraient la phase d’industrialisation. Les raisons principales de cet échec…

    > En savoir plus...
Etudes/Enquêtes
  • La gestion des données et des risques compliquée par le Cloud et le RGPD

    Alors que les cyberattaques touchent toujours autant les entreprises, le Cloud et le Règlement sur…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement

Guide de la cybersécurité 2017-2018

Ixia_RGPD_skycraper
Agenda
livres blancs
Les Livres
Blancs
  • Préparation au règlement général sur la protection des données (RGPD)

    > Voir le livre
  • L'intelligence Artificielle, vraie rupture en cybersécurité

    > Voir le livre
Ixia_RGPD_skycraper