Article de reference

StartCom

StartCom était une autorité de certification fondée à Eilat , en Israël , puis basée à Pékin , en Chine . Ses trois activités principales étaient : StartCom Enterprise Linux ( d...

StartCom était une autorité de certification fondée à Eilat , en Israël , puis basée à Pékin , en Chine . Ses trois activités principales étaient : StartCom Enterprise Linux ( distribution Linux ), StartSSL ( autorité de certification ) et MediaHost ( hébergement web ). StartCom avait des succursales en Chine , à Hong Kong , au Royaume-Uni et en Espagne . En raison de multiples erreurs de sa part, tous les certificats StartCom ont été retirés de Mozilla Firefox en octobre 2016 et de Google Chrome en mars 2017, y compris les certificats précédemment émis. Des retraits similaires pour d’autres navigateurs étaient attendus.

StartCom a été rachetée en secret par WoSign Limited ( Shenzhen , Guangdong , Chine ), via plusieurs sociétés, ce qui a été révélé par l'enquête de Mozilla relative à la suppression du certificat racine de WoSign et de StartCom en 2016. En raison des sanctions imposées par Mozilla et Apple, l'entreprise a annoncé sa restructuration en 2016 par Qihoo 360 Group , maison mère de WoSign , détachant ainsi StartCom de WoSign, touchée par le scandale, et en faisant une filiale de Qihoo.

Malgré ses tentatives de se distancer de la controverse, StartCom a annoncé la cessation de ses activités le 16 novembre 2017 et a cessé de délivrer de nouveaux certificats le 1er janvier 2018, entraînant ainsi la fermeture de l'entreprise. Les sites web de StartSSL, StartCom et StartCom CA redirigent désormais vers la boutique WoSign.

StartSSL

StartCom proposait le certificat SSL X.509 de classe 1 gratuit « StartSSL Free », compatible avec les serveurs web ( SSL/TLS ) et le chiffrement des e-mails ( S/MIME ). L'entreprise proposait également des certificats de classe 2 et 3, ainsi que des certificats à validation étendue (EV), nécessitant une validation complète et payante.

Bien que les certificats soient gratuits et illimités pour certains usages, des limitations étaient imposées sauf en cas d'achat d'une mise à niveau :

  • Validité du certificat : trois ans
  • La révocation d'un certificat entraîne des frais

En juin 2011, la société a subi une faille de sécurité dans son réseau, ce qui a entraîné la suspension par StartCom de l'émission de certificats numériques et des services associés pendant plusieurs semaines. L'attaquant n'a pas pu exploiter cette faille pour émettre des certificats (et StartCom était le seul fournisseur touché, parmi les six, où l'attaquant a été empêché de le faire).

Fiabilité

Le certificat StartSSL était inclus par défaut dans Mozilla Firefox 2.x et versions ultérieures, dans Apple Mac OS X depuis la version 10.5 (Leopard) , dans tous les systèmes d'exploitation Microsoft depuis le 24 septembre 2009, et dans Opera depuis le 27 juillet 2010. Étant donné que Google Chrome , Apple Safari et Internet Explorer utilisent le magasin de certificats du système d'exploitation, tous les principaux navigateurs incluaient auparavant la prise en charge des certificats StartSSL.

Le 30 septembre 2016, au cours de l'enquête sur WoSign , Apple a annoncé que son logiciel n'accepterait pas les certificats émis par l'un des certificats WoSign après le 19 septembre 2016 et a déclaré qu'elle prendrait d'autres mesures concernant les ancres de confiance WoSign/StartCom à mesure que l'enquête progresserait.

Le 24 octobre 2016, Mozilla a annoncé sur son blog de sécurité qu'à la suite de la découverte du rachat de StartCom par une autre autorité de certification, WoSign, lors de son enquête sur de nombreux problèmes concernant cette dernière, et du fait que les deux entités n'avaient pas divulgué cette transaction, Mozilla cesserait de faire confiance aux certificats émis après le 21 octobre 2016 à partir de Firefox 51. Le 1er novembre 2016, Google a annoncé qu'il cesserait également de faire confiance aux certificats émis après le 21 octobre 2016 à partir de Chrome 56. Les certificats émis avant cette date pourraient continuer à être acceptés temporairement, mais dans les versions ultérieures de Chrome, ces exceptions seraient réduites puis supprimées. Le 30 novembre 2016, les produits Apple bloqueraient les certificats des autorités de certification racine WoSign et StartCom si la date limite d'utilisation (« Not Before ») était le 1er décembre 2016 à 00:00:00 GMT/UTC ou après.

À partir de la version 57, Google Chrome ne fera confiance qu'aux certificats WoSign/StartCom émis pour les sites figurant dans le Top 1M d'Alexa, et Chrome 58 ne fera confiance qu'à ceux figurant dans le Top 500k d'Alexa.

Le 8 août 2017, Microsoft a annoncé sur son blog Windows Security que Windows 10 ne ferait plus confiance aux nouveaux certificats de WoSign et StartCom après septembre 2017.

Malgré les changements apportés à sa structure, StartCom n'a constaté « aucune indication claire de la part des navigateurs quant à sa capacité à regagner leur confiance ». Par conséquent, StartCom a suspendu l'émission de tous les certificats depuis le 1er janvier 2018 et cessera définitivement ses activités d'ici 2020 en révoquant tous les certificats émis.

Réponse à Heartbleed

Le 13 avril 2014, StartCom a annoncé une page FAQ relative à Heartbleed , un bug critique dans OpenSSL qui aurait rendu 17 % des serveurs Web sécurisés d'Internet vulnérables au vol de données.

La politique de StartCom consistait à facturer 25 $ pour chaque certificat révoqué et refusait d'exonérer de ces frais les certificats compromis par la faille Heartbleed, bien que certains clients payants aient bénéficié d'une révocation gratuite. Cette pratique a semé le doute quant à la fiabilité de StartCom en tant qu'autorité de certification. Face à la preuve d'un certificat compromis, StartCom refusait de le révoquer gratuitement, maintenant ainsi sa confiance même après avoir constaté la compromission.

Controverses

En août 2016, il a été rapporté que StartCom avait été vendu à WoSign, une autorité de certification chinoise. L'article original a été retiré pour des raisons juridiques. Cependant, des republications de l'article original sont toujours disponibles. La nature de la relation reste floue, mais il semblerait que l'infrastructure technique de StartCom ait été utilisée par WoSign lorsque cette dernière a été prise en flagrant délit d'émission d'une centaine de certificats SSL mal validés, dont un certificat pour github.com.

Une enquête menée par Google et Mozilla a révélé que WoSign avait sciemment et intentionnellement émis des certificats erronés afin de contourner les restrictions des navigateurs et les exigences des autorités de certification. En conséquence, Google s'est joint à Mozilla et Apple et a prévu de ne plus faire confiance à tous les certificats WoSign et StartCom à partir de 2017. Le 17 juillet 2017, une annonce a été faite concernant la restructuration de l'entreprise. Il a été annoncé que StartCom était désormais gérée à 100 % par Qihoo 360, qu'aucun employé de StartCom ne travaillait dans les locaux de WoSign, que des audits avaient été réalisés par des testeurs d'intrusion externes et qu'un nouveau système de gestion de contenu avait été développé.

Plus d articles de Worldlex Wiki

Revenez a l index pour explorer davantage de pages sur l histoire, la science, la culture, la geographie et la societe en francais.

Explorer l index