Ce n'est plutôt le problème d'un nom de domaine signé par deux CA, comment tu départage ?
C’est un problème, oui, mais je ne vois pas ce que ça a à voir avec l’enregistrement de certificats auto-signés et/ou publiés dans le DNS...
Et dans le cas que tu cites, Certificate Transparency ne départage pas : si deux CA reconnues soumettent un certificat pour un même nom de domaine, les deux certificats seront enregistrés et auront leur SCT. C’est au propriétaire du nom de domaine qu’il appartient de surveiller les logs publics : s’il voit passer un certificat pour son domaine, autre que celui qu’il a lui-même demandé auprès de son AC, c’est que quelqu’un joue au con.
En pratique, je suppose que la surveillance des logs sera proposée directement par les AC en tant que service supplémentaire (« on vous fournit un certificat qui sera accepté automatiquement par les navigateurs — ça c’est ce qu’on faisait déjà —, et en plus maintenant on surveillera que personne n’obtient un certificat pour votre domaine, et on vous préviendra si ça arrive »).
Certificate Transparency ne change rien au fait qu’une AC indélicate peut émettre un certificat valide et accepté pour un domaine déjà certifié par une autre AC, mais cela permet à tout le monde (et notamment le propriétaire légitime du domaine) de s’en apercevoir.
Ce qu’il advient une fois que tout le monde s’en est aperçu, en revanche, n’est plus de ressort de Certificate Transparency et est complètement non spécifié. En théorie, l’AC indélicate devrait immédiatement perdre son statut d’AC « de confiance » et être donc retirée du magasin des navigateurs, mais c’est une décision qui est à la discrétion des éditeurs de navigateurs (je soupçonne pour ma part qu’il faudra fournir aux éditeurs beaucoup d’exemples de certificats illégitimes — avec à l’appui les preuves fournies par les logs CT — avant qu’ils ne considèrent le retrait d’une AC).
[^] # Re: Pourquoi je vois les captures, sous Firefox, justement ?
Posté par gouttegd . En réponse à la dépêche Firefox 32. Évalué à 2.
C’est un problème, oui, mais je ne vois pas ce que ça a à voir avec l’enregistrement de certificats auto-signés et/ou publiés dans le DNS...
Et dans le cas que tu cites, Certificate Transparency ne départage pas : si deux CA reconnues soumettent un certificat pour un même nom de domaine, les deux certificats seront enregistrés et auront leur SCT. C’est au propriétaire du nom de domaine qu’il appartient de surveiller les logs publics : s’il voit passer un certificat pour son domaine, autre que celui qu’il a lui-même demandé auprès de son AC, c’est que quelqu’un joue au con.
En pratique, je suppose que la surveillance des logs sera proposée directement par les AC en tant que service supplémentaire (« on vous fournit un certificat qui sera accepté automatiquement par les navigateurs — ça c’est ce qu’on faisait déjà —, et en plus maintenant on surveillera que personne n’obtient un certificat pour votre domaine, et on vous préviendra si ça arrive »).
Certificate Transparency ne change rien au fait qu’une AC indélicate peut émettre un certificat valide et accepté pour un domaine déjà certifié par une autre AC, mais cela permet à tout le monde (et notamment le propriétaire légitime du domaine) de s’en apercevoir.
Ce qu’il advient une fois que tout le monde s’en est aperçu, en revanche, n’est plus de ressort de Certificate Transparency et est complètement non spécifié. En théorie, l’AC indélicate devrait immédiatement perdre son statut d’AC « de confiance » et être donc retirée du magasin des navigateurs, mais c’est une décision qui est à la discrétion des éditeurs de navigateurs (je soupçonne pour ma part qu’il faudra fournir aux éditeurs beaucoup d’exemples de certificats illégitimes — avec à l’appui les preuves fournies par les logs CT — avant qu’ils ne considèrent le retrait d’une AC).