Des extensions Firefox pour contrôler les certificats HTTPS
Mercredi 18 aout 2010
Je vous avais parlé de la problématique des autorités de certification en HTTPS.
Prenons un exemple pour illustrer. Si on prend le site https://www.google.com/, son certificat est signé par une autorité de certification intermédiaire (Thawte), et le certificat de Thawte est lui-même signé par VeriSign (une autorité de certification racine).
Imaginons que du jour au lendemain le certificat de Google devienne signé par une entreprise taïwannaise:
Franchement louche, non ? Cela pourrait très bien être le signe d'un détournement de trafic réseau. Pourtant vous n'aurez aucune alerte de votre navigateur: Pour lui tout va bien puisque le certificat est signé par une autorité qu'il connaît (Chunghwa Telecom). Un changement de certificat est quelque chose qui peut être normal (cela peut arriver au cours de la vie d'un site), mais vous n'avez aucun moyen de contrôler. Ou presque, puisque maintenant deux modules pour Firefox existent: Certificate Patrol et Certificate Watch. Ils fonctionnent de manière un peu différente:
- Certificate Patrol vous préviendra car le certificat de www.google.com a changé (qu'il soit signé par les mêmes autorités ou non).
- Certificate Watch vous préviendra car le certificat utilise une ou plusieurs autorités que vous n'avez pas encore approuvées (Chunghwa Telecom).
Comme vous pouvez le voir, leur manière de vous protéger est légèrement différente, mais elles sont toutes les deux valables: CertPatrol demande l'approbation individuel des certificats de sites (certificats nouveaux ou modifiés), CertWatch demande l'approbation individuel des autorités de certification. A vous de choisir ce que vous préférez. (Avec CertWatch, à l'heure actuelle, un changement de certificat ne vous sera pas signalé s'il utilise des autorités que vous avez déjà approuvées. Avec CertPatrol, vous devrez approuver tout changement de certificat même s'il utilise des autorités auxquelles vous faites déjà confiance.)
Bien sûr ces extensions pour Firefox ne sont utiles que si la personne qui utilise le navigateur comprend le principe de signature des certificats comme je vous l'ai expliqué ci-dessus, mais au moins ces extensions permettent de garder un certain œil sur ce qui se passe.
PS: J'ai préféré ne parler ici que des extensions qui ne font pas appel à un webservice ou site externe.