Mozilla casse le web sécurisé
Par Laurentj le samedi, novembre 3 2007, 16:01 - Technologies Web - Lien permanent
Mise à jour 04/11 11h23 : Le problème que j'évoque dans ce billet n'existe plus depuis quelques heures. Merci à Nico de l'avoir signaler :-). Firefox 3 beta 1 ne bloquera plus l'accés aux sites SSL qui n'ont pas de certificat signé par une autorité de confiance. La page d'erreur s'affiche toujours, mais on a désormais un bouton (voir une capture d'écran) permettant d'ajouter le site dans une liste d'exception. Et l'on peut ensuite accéder au site normalement. Vous pouvez donc considérer le contenu de ce billet comme étant obsolète :-)
Ce n'est pas une nouvelle fraîche. Je l'avais déjà lu il y a plusieurs semaines sur la planete Mozilla, sans y attacher une grande importance (désolé, je ne retrouve pas le lien du billet en question). Mais voilà, j'ai voulu aller sur un site perso en SSL (https) avec la version alpha de Firefox 3, et je n'ai pas pu y accèder. Et ça m'agace au plus haut point. En effet, si le site utilise un certificat non signé par une autorité de confiance, Firefox affiche une belle page d'erreur expliquant que le site n'est pas sûr ! Il n'y a plus le simple popup d'avertissement. Il n'y a plus aucun moyen de passer outre cet avertissement. Firefox vous empêche tout bonnement d'aller surfer sur ces sites SSL.
Et là je dis : C'EST DE LA BÊTISE PURE ET SIMPLE !
Pourquoi ?
Premièrement, à cause de la conséquence : la plupart des sites SSL seront inaccessibles aux internautes lambda car la plupart des sites SSL utilisent des certificats non signés par des autorités de confiance.
Deuxièmement, parce que Mozilla semble imaginer que tous les propriétaires de serveurs font parti du Fortune 500 ! En effet, savez-vous pourquoi ces certificats ne sont pas signés par une autorité "de confiance" ? Parce que ça coute la peau des fesses (enfin presque [1]) ! 400 dollars par an chez Verisign ! Une véritable extorsion ! De là à penser que... Non rien. Enfin bref, toutes les associations, les propriétaires privés de serveurs, les petites entreprises etc, ne peuvent pas se payer ces certificats, donc font ce qu'ils peuvent pour avoir des accès sécurisés à leurs applications.
Troisièmement : cette précaution est complètement inutile. Elle emmerdera tout le monde (c'est à dire les internautes et les propriétaires de site en grande majorité honnêtes), tout en apportant rien. En effet, il y a deux solutions pour contourner cette interdiction :
- Le site ne propose plus un accès en SSL. Pour la sécurité des échanges, c'est donc mort. Un comble quand on sait que Mozilla prône pour un web mieux sécurisé.
- Le site en question propose, sur un espace non sécurisé (ah ah la bonne blague), la clé publique de l'autorité qui a signé le certificat, (la clé publique du certificat racine et cette autorité étant dans la majorité des cas le site lui même, et non une autorité reconnue comme "de confiance"). Un lien vers cette clé, un clic, et elle est installée dans Firefox. Cette autorité "factice" devient alors, aux yeux de Firefox (donc à vos yeux), une autorité de confiance. On peut alors se balader sur le site SSL. Conclusion : Mozilla voulait, par cette page bloquante, empêcher que l'internaute aille sur un site malveillant. Peine perdue. Certes, c'est plus long d'aller cliquer sur un lien qui installera un certificat, que de cliquer aveuglement sur un popup d'avertissement comme c'est le cas dans Firefox 2.0, mais le résultat est finalement le même (oui, il y a un soupçon de mauvaise foi dans mon propos).
Une autre solution à ce problème, qui serait avantageuse pour les petits hébergeurs, les associations etc, serait que Firefox inclus en standard, au même titre que les clés publiques de Verisign et cie, la clé publique du certificat racine de CAcert, un organisme qui signe gratuitement vos certificats. Mais bon, comme c'est gratuit, on vous dira que ce n'est pas une autorité "de confiance"...
D'un autre coté, on peut se demander si tout ça n'est pas la faute à SSL. On devrait peut-être tout bonnement le virer et le remplacer par quelque chose de plus simple. Ce protocole est franchement compliqué à utiliser, ne serait-ce que lors de la création d'un certificat, avec des lignes de commandes à rallonge et des fichiers de configurations obscures.
Note : Firefox 3.0 n'étant qu'à sa version alpha, on peut espérer qu'ils fassent machine en arrière. Mais bon.. MIse à jour : c'est fait, voir l'avertissement en début de billet :-)
Notes
[1] Mise à jour : parmis les organismes reconnus par Firefox, il y a startcom qui propose des certificats gratuits, et pour les autres, les tarifs pour un certificat de base vont de $80 à $249 : $80 chez instantssl.com, $149 chez thawte.com, $159 chez entrust.net et $249 chez geotrust.com. Même si c'est moins cher que chez verisign, ça n'est quand même pas donné pour tout le monde.
Commentaires
+1 sur le fait que c'est cautionner le racket de ces "Autorités de certification"...
Décidément, beaucoup de choses changent...
Pour CAcert dans Mozilla : https://bugzilla.mozilla.org/show_bug.cgi?id=215243
Ce n'est pas gagné, et pas pour tout de suite (et le problème viendrait en bonne partie de CAcert)
Après empêcher la navigation SSL sur des certificats cassés ou non certifiés par un tiers de confiance, j'ai "confiance" dans le fait que ça ne fonctionnera jamais. Trop de sociétés ont des certificats auto-signés en interne, ou pire, des certificats expirés. Mozilla se couperait de fait d'une cible très importante.
Par contre remplacer la popup par une page d'erreur de type des nouvelles pages d'erreur DNS, s'il y a moyen de cliquer sur "continuer" et sur "accepter de manière permanente ce certificat", ça me parait une bonne idée.
http://blog.johnath.com/index.php/2007/10/11/todo-break-internet/
C'est exactement comme pour la mise à jour "sécurisée" des extensions... comment il fait le développeur lambda ? Il fait pas... au risque de ne plus avoir de mises à jour et de voir se multiplier de vieilles versions d'extensions !
Ce que j'en pense... http://en.wikipedia.org/wiki/Security_theater
Pourquoi ne pas avoir 2 niveaux de securité? 1 pour n'importe quel certif SSL et 1 autre pour les certifs attribué par un organisme reconnu de confiance par Mozilla...
@Mathieu : merci, oui c'est l'un d'eux :-) Celui auquel je pensais en particulier est celui-là, pointé par le billet dont tu parles.
@calimo : exact.
Internet Explorer 7 a le même comportement. Je m'en suis aperçut aprés avoir fait un arpspoof de la passerelles Internet suivit d'un dnsspoof et d'un webmitm pendant une lan party. Tout les Vista affichait une alerte de securité sur chaque pages. Mais la plupart des gens ont confirmé vouloir continuer alors j'ai recuperé un tas de credentials :)
Sûr que l'interface d'OpenSSL est des plus affreuses (surtout avant de découvrir OpenSSL self-signed certificates in one line) mais cela est « juste » un problème de l'implémentation, pas un problème en soi du protocole SSL (qui n'est cependant pas sans problème); arrivera bien un jour, j'espère, où il y aura une interface permettant de facilement créer un certificat.
Bébé, eau du bain, tout ça.
https://bugzilla.mozilla.org/show_bug.cgi?id=401575
+<!ENTITY securityOverride.linkText "Or you can add an exception...">+<!ENTITY securityOverride.getMeOutOfHereButton "Get Me Out of Here">+<!ENTITY securityOverride.exceptionButtonLabel "Add Exception">Patch inclus par reed le 2007-11-03 11:50:14 PDT Fin du probléme sous cette forme :)
Notez que CACert, oui c'est gratuit, et c'est au moins aussi sûr que Verisign et co.
Du moins, j'aurais plus confiance dans un ring of trust comme CACert que dans une entreprise privée qui fait ce qu'elle veut contre de l'argent après tout.
"Et l'on peut ensuite accéder au site normalement. Vous pouvez donc considérer le contenu de ce billet comme étant obsolète"
Carrément pas obsolète. Cette page d'erreur ressemble furieusement à celle qu'on obtient quand un serveur ne répond pas. Elle fera reculer beaucoup d'utilisateurs qui auront le seul tort d'avoir acquis l'habitude d'associer visuellement le picto d'avertissement avec l'impossibilité pure et simple de se connecter au site demandé.
@michel_v : c'est vrai...
Vrai Michel_v, mais en même temps passer sur l'erreur avec un message non bloquant ça serait franchement contrecarrer un des gros principes de SSL.
Si on peut ajouter une exception permanente, cette page est très bien comme ça.
En attendant, la version 0.8 de prism sous linux ne me permet plus d'accèder à mon serveur zimbra (en https auto-signé).
grr !
C'est en effet un peu crade ces tarifs de certification.
Dans le monde Jabber/XMPP, la XSF (XMPP Standards Foundation) est ICA (Intermediate Certification Authority) gratuite pour les serveurs Jabber ouverts. En effet, XMPP utilise TLS/SSL pour les connexions client-serveur et serveur-serveur.
https://www.xmpp.net/request-a-certificate (authentification nécessaire)
Firefox 4 Alpha, attendons la version Stable et officielle avant de sortir la cavalerie ;) Ils ne sont pas si *** chez Mozilla.
3 alpha, pardon ^^.
startcom propose des certificats gratuits?... ça doit être dûr pour les autres organismes .