StartCom la disgrâce…
La Fondation Mozilla est surtout connue comme l’éditeur de Firefox et Thunderbird.Ce qui est moins connu c’est que la Fondation Mozilla est membre du CA/Brower Forum. A ces deux titres Mozilla édite une liste des autorités de certifications (CA) qui sont reconnues par Firefox et Thunderbird (Google fait de même pour Chrome, Microsoft pour Edge, Internet Explorer et Windows d’une manière générale). La liste de CA éditée par la Fondation Mozilla est une référence en la matière, d’ailleurs Debian, RedHat (et donc CentOS) utilisent la liste éditée par la Fondation Mozilla, via la package ca-certificates.
# rpm -qi ca-certificates-2015.2.6-65.0.1.el6_7.noarch Name : ca-certificates Relocations: (not relocatable) Version : 2015.2.6 Vendor : CentOS Release : 65.0.1.el6_7 Build Date : Tue 22 Mar 2016 07:15:09 PM CET Install Date: Thu 13 Oct 2016 02:15:19 PM CEST Build Host : c6b8.bsys.dev.centos.org Group : System Environment/Base Source RPM : ca-certificates-2015.2.6-65.0.1.el6_7.src.rpm Size : 3253004 License : Public Domain Signature : RSA/SHA1, Tue 22 Mar 2016 08:37:01 PM CET, Key ID 0946fca2c105b9de Packager : CentOS BuildSystem <http://bugs.centos.org> URL : http://www.mozilla.org/ Summary : The Mozilla CA root certificate bundle Description : This package contains the set of CA certificates chosen by the Mozilla Foundation for use with the Internet PKI.
StartSSL et StartPKI sont des marques de StartCom qui est une autorité de certification jusqu’ici reconnue sur le marché.
StartCom qui était basée en Israël a été rachetée par WoSign, une autorité de certification chinoise. Cette opération a été réalisée avec une certaine opacité, ce qui a déplu à la Fondation Mozilla car WoSign était déjà suspectée de malversations (entre autres émission de certificats antidatés à avant le 1er Janvier 2016 pour ne pas avoir à passer au SHA256, https://wiki.mozilla.org/CA:WoSign_Issues), du coup les foudres de la Fondation se sont aussi abattues sur StartCom qui a relevé nombre de malversations suite à la prise de contrôle par WoSign.
La décision de Mozilla WoSign and StartCom est de retirer WoSign et StartCom de la liste des autorités de certification reconnues, mais aussi de ne plus reconnaître les audits réalisés par la branche Hongkongaise de Ernest & Young.
Mozilla a émis un ticket Bug 1311832 – StartCom Action Items qui annonce que les certificats émis après le 21 octobre 2016 par StartCom ne seront plus reconnus à compter de la version 51 de Firefox. Ce document décrit la liste des actions à mener par StartCom afin de pouvoir prétendre à une nouvelle inclusion dans la liste des CA reconnues par Mozilla, cette longue liste tranche avec l’optimisme annoncé sur la page client (‘ControlPane’) de StartSLL:
Mozilla and Google decided to distrust all StartCom root certificates as of 21st of October, this situation will have an impact in the upcoming release of Firefox and Chrome in January. StartCom will provide an interim solution soon and will replace all the issued certificates from that date in case of requested. Meanwhile StartCom is updating all their systems and will generate new root CAs as requested by Mozilla to regain the trust in these browsers.
A ce jour les éditeurs suivants ont annoncé la disgrâce de StartCom:
- Mozilla: Distrusting New WoSign and StartCom Certificates
- Apple: Blocking Trust for WoSign CA Free SSL Certificate G2 (WoSign)
- Google: Distrusting WoSign and StartCom Certificate
Selon leur page ‘corporate’ StartCom est devenue en 10 ans la 6eme autorité de certification au monde avec 1.000.000 clients, 400.000 sites… Il s’agit donc d’un CA qui avait une certaine importance, il s’agit d’un des moins chers qui moyennant quelques centaines d’euro par an offrait des certificats SSL, y compris avec wildcard, code signing, multiple Subject Alternative Names (SANs)…
Maintenant il faut trouver un remplaçant aussi avantageux qui permette de joindre le nécessaire (des certificats SSL valides) à l’agréable pour le gestionnaire (un coût correct)…