Connexion
Abonnez-vous

Google est désormais une autorité de certification racine

It's a Google world

Google est désormais une autorité de certification racine

Le 27 janvier 2017 à 09h56

Google est désormais une autorité de certification root. La firme indique dans un billet de blog que cette bascule est cruciale dans la reconnaissance de « l’importance fondamentale » du HTTPS. Les utilisateurs ne devraient sentir aucune différence.

Google était depuis longtemps une autorité subordonnée de certification (GIAG2). L’éditeur était donc un intermédiaire dans la chaine de sécurité, mais la confiance apportée à ses certificats dépendait de certificats racine d’autres prestataires. Pour des questions pratiques et gagner du temps, Google est désormais sa propre autorité de certification racine, ou root.

Une transition invisible pour l'utilisateur

Comme l’indique l’éditeur dans un billet de blog, le certificat racine va permettre à l’entreprise de diffuser plus rapidement et efficacement le HTTPS dans l’ensemble de ses produits : « Il est évident que le HTTPS continuera à être une technologie fondamentale. C’est pourquoi nous avons décidé d’étendre nos efforts sur l’autorité de certification pour y inclure notre propre autorité racine ».

Un mouvement qui aura plusieurs conséquences, mais pas pour les utilisateurs, pour qui la transition devrait être invisible. Les certificats déjà utilisés par Google continueront d’être utilisés en l’état jusqu’à leur date d’expiration. L’arrivée des certificats émanant de cette autorité se fera graduellement, soit pour de nouveaux produits, soit en remplacement progressif des anciens.

Les développeurs passeront par les Google Trust Services

Pour les développeurs par contre, cela signifiera l’inclusion à court ou moyen terme des nouveaux certificats racine de Google. On parle bien évidemment ici de ceux qui bâtissent des services et applications qui interagiraient avec ceux de la firme. Elle lance d’ailleurs pour gérer ces demandes les Google Trust Services, nouvelle entité qui traitera de ces questions pour tout ce qui touche à Google ou Alphabet.

La société note cependant que l’intégration des certificats racine dans les produits peut prendre du temps, de même que l’attente des versions associées à ces produits. Pour simplifier cette transition, Google a donc racheté deux autorités de certification racine, à savoir GlobalSign R2 et R4. Elles vont permettre de commencer à gérer plus vite des certificats. Notez que parallèlement, tout ce qui touche à l’autorité intermédiaire GIAG2 continuera de fonctionner sans modification.

Tous les œufs dans le même panier ?

On peut toutefois se demander si ce dernier mouvement de Google ne revient pas à mettre tous ses œufs dans le même panier. Dans la chaine qui relie l’internaute à un service web, la firme dispose en effet d’une très forte intégration verticale. Google est en effet en capacité d’offrir désormais un certificat racine, l’infrastructure pour les sites web, les domaines, les DNS, la connexion (Google Fiber aux États-Unis), le navigateur et le système d’exploitation.

Les développeurs qui souhaitent intégrer les nouveaux certificats racine pourront donc le faire depuis les Google Trust Services. Ces certificats permettent pour rappel de confirmer l’authenticité d’un site web et d’établir des connexions SSL/TLS. Une initiative logique quand on sait que Google vient de commencer (tout comme Mozilla d'ailleurs) une transition dans Chrome en marquant les connexions comme non sécurisées sur les sites ne disposant pas du HTTPS.

Commentaires (48)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

ça ne sera pas pire que symantec qui file des certificats https illégitimes

votre avatar







Oviked a écrit :



Quelle bonne nouvelle !



&#160http://linkszeitung.de/nsa_diagramm.png



<img data-src=" />





le petit côté dessin sur un post-it est du plus bel effet <img data-src=" />


votre avatar







Oviked a écrit :



Quelle bonne nouvelle !



&#160http://linkszeitung.de/nsa_diagramm.png



<img data-src=" />







Ouais mais ça, ça a été corrigé depuis un bail…



Par contre, le risque est : dans quelle mesure le gouvernement US sera en mesure de forcer Google à générer de vrais faux certificats tout en l’obligeant à fermer sa bouche ?

Fait-il déjà ce genre de chose avec les autres autorités de certif US ?


votre avatar







KP2 a écrit :



Ouais mais ça, ça a été corrigé depuis un bail…



Par contre, le risque est : dans quelle mesure le gouvernement US sera en mesure de forcer Google à générer de vrais faux certificats tout en l’obligeant à fermer sa bouche ?

Fait-il déjà ce genre de chose avec les autres autorités de certif US ?





Si c’est le cas on ne le saura pas immediatement. Par contre, c’est un jeu tres dangereux car si ca venait a se savoir, tu peux etre sur que mozilla retirera toute autorite de certification consideree compromise tuant immediatement le fournisseur.


votre avatar



Google est en effet en capacité d’offrir désormais un certificat racine, l’infrastructure pour les sites web, les domaines, les DNS, la connexion (Google Fiber aux États-Unis), le navigateur et le système d’exploitation.

Ca fait beaucoupA l’utilisateur de faire attention…

votre avatar

Sans oublier le contenu vu dans le système d’exploitation ;)



Pour l’instant, ça ne choque pas parce qu’on peut prendre juste un bout de la chaîne en allant voir ailleurs pour le reste.

&nbsp;

Je pense qu’il faut veiller à ce qu’il n’y ait pas abus de position dominante pour que Google ne force pas la main des utilisateurs à être Full Google.

votre avatar

[Troll in] On veut juste que vous nous fassiez pleinement confiance, après tout, google est ton ami non ? [/troll out]

votre avatar







Carpette a écrit :



Si c’est le cas on ne le saura pas immediatement. Par contre, c’est un jeu tres dangereux car si ca venait a se savoir, tu peux etre sur que mozilla retirera toute autorite de certification consideree compromise tuant immediatement le fournisseur.







Ben, ils peuvent faire ça pour des opérations extrêmement ciblées.



C’est sur que si le gvt US s’amuse à faire de vrais faux sites publiques, ça va pas trainer pour que ce soit découvert…


votre avatar

Est ce qu’il y a beaucoup d’entreprises qui gèrent les certificats racines ?

Parce que si google y prend une position prédominante, les cas root sont cuites.

votre avatar



Dans la chaine qui relie l’internaute à un service web, la firme dispose en effet d’une très forte intégration verticale. Google est en effet en capacité d’offrir désormais un certificat racine, l’infrastructure pour les sites web, les domaines, les DNS, la connexion (Google Fiber aux États-Unis), le navigateur et le système d’exploitation.





Ouais… ils sont joyeusement en train de monter un Google Net… Combien de temps avant qu’ils fassent sécession ?

votre avatar







picatrix a écrit :



&nbsp;les cas root sont cuites.





1620

<img data-src=" />


votre avatar







KP2 a écrit :



Ouais mais ça, ça a été corrigé depuis un bail…



Par contre, le risque est : dans quelle mesure le gouvernement US sera en mesure de forcer Google à générer de vrais faux certificats tout en l’obligeant à fermer sa bouche ?

Fait-il déjà ce genre de chose avec les autres autorités de certif US ?





L’obligeant ???



Hmmm…

&nbsp;

&nbsp;


votre avatar

Voila qui n’est pas rassurant quand on connait la capacité de malfaisance de cette société !

votre avatar

Mozilla va y réfléchir à 2 fois avant de révoquer des certificats racines qui rendrait impossible l’accès à l’ensemble des services de Google.

&nbsp;

Tu imagines l’internaute lambda n’arrive plus à accéder à la page de Google (internet pour lui quoi) à partir de Firefox mais il y arrive sur Edge, Chrome ou Safari, devine la suite ??

votre avatar

Peux-tu donner des éléments concrets ?

votre avatar







fabien29200 a écrit :



Peux-tu donner des éléments concrets ?





L’interface de gmail <img data-src=" />


votre avatar

“Google est en effet en capacité d’offrir désormais un certificat racine, l’infrastructure pour les sites web, les domaines, les DNS, la connexion (Google Fiber aux États-Unis), le navigateur et le système d’exploitation”



Manque plus que le CTOS

votre avatar

Je pense m’acheter un cerveau Google, comme ça je suis bien compatible avec l’ensemble de la chaîne.&nbsp;<img data-src=" />

votre avatar

Quelle bonne nouvelle !



&nbsphttp://linkszeitung.de/nsa_diagramm.png



<img data-src=" />

votre avatar







TexMex a écrit :



L’obligeant ???



Hmmm…







On peut dire ce qu’on veut de Google ou de n’importe quelle autre grosse boite US mais ils ne collaborent pas activement et avec plaisir avec le gvt pour leur filer des datas…

Ils font généralement ce qu’ils peuvent pour mettre de batons dans les roues des procédures mais la loi est tellement large sur le sujet qu’ils ne peuvent pas faire grand chose. Ca n’en fait pas des collabos exaltés pour autant…



Après, le difference entre un Yahoo et un Lavabit, c’est jusqu’à quel point ils sont prêt à mettre en danger leur business pour résister…


votre avatar

On va bien voir si les erreurs avec les certificats Let’sEncrypt se multiplient ou cessent… <img data-src=" />

votre avatar

[dredi]

De toutes façons, dès que DNSSEC est entièrement mise en place dans le monde, d’ici le mois prochain, DANE est mis en place partout et on oublie ce problème

[/dredi]

votre avatar

C’est sur. Cela dit ce serait une affaire importante et google (et autres) devraient vite reagir pour changer leur certificat racine. En tout cas il me parait improbable que mozilla garde les certifs racine sans broncher. D’autant que chrome et edge/IE devraient reagir egalement s’ils veulent rester credible.

Ce serait un sacre bordel avec des decisions difficiles a prendre.

votre avatar

&nbsp;Évidement ça tombe un vendredi <img data-src=" />

votre avatar

Y a que moi que ça gène, de les voir juge et partie ?



C’est les fournisseurs de navigateurs qui décident quelles autorités de certifications sont valides (pour les ajouter quand elles sont jugés clean, et les virer quand elles font de la merde, ça arrive quasi tous les ans). Maintenant la navigateur qui a la majorité absolu des utilisateurs sur le marché devient autorités de certification.



Si elle fait de la merde, qui les virera ? Les navigateurs minoritaires, au risque de voir leur utilisateurs partir vers le navigateur qui est déjà en voit d’acquérir un monopole vu l’évolution des parts de marché ? Car sérieusement, quand un utilisateur aura un problème avec un site, et que toutes ses connaissances sous Chrome n’auront pas ce problème, il passera juste sur Chrome sans aller voir la RFC pour comprendre le problème…



Ca me dérange pas que Google soit un géant, mais certaines limites doivent être respecté. On peut pas avoir le beurre, et l’argent du beurre… Ce genre de comportement met à mal la sécurité d’internet, l’ICANN, la FTC ou que sais-je d’autres ne vont pas réagir ?

votre avatar







Carpette a écrit :



C’est sur. Cela dit ce serait une affaire importante et google (et autres) devraient vite reagir pour changer leur certificat racine. En tout cas il me parait improbable que mozilla garde les certifs racine sans broncher. D’autant que chrome et edge/IE devraient reagir egalement s’ils veulent rester credible.

Ce serait un sacre bordel avec des decisions difficiles a prendre.





D’un point de vue strictement légale, Chrome, Edge/IE, Safari et FireFox sont tous des navigateurs dans la maison mère est situé aux Etats Unis. Oui, même la Fondation Mozilla est domicilié la bas. En cas de requête fédérale, tous ces navigateurs devront implémenter ce faux certificat, et toute fuite est passible de perpétuité pour leurs employés là bas. Y a que Opéra et les navigateurs chinois qui pourrait s’y soustraire.



Hé oui.


votre avatar







Bejarid a écrit :



Y a que moi que ça gène, de les voir juge et partie ?



C’est les fournisseurs de navigateurs qui décident quelles autorités de certifications sont valides (pour les ajouter quand elles sont jugés clean, et les virer quand elles font de la merde, ça arrive quasi tous les ans). Maintenant la navigateur qui a la majorité absolu des utilisateurs sur le marché devient autorités de certification.







Alors Chrome/Opéra/Vivaldi utilise le magasin de certificat de Microsoft Windows (sous Windows bien entendu) donc Google ne décide rien du tout. Le seul a ce baser sur son propre magasin de certificat est Firefox.



Après il me semble qu’ils intègrent tous unes liste noire c’est vrai.


votre avatar

Microsoft en a rêvé…

Google l’a fait…

votre avatar







CryoGen a écrit :



Après il me semble qu’ils intègrent tous unes liste noire c’est vrai.





Qui dit liste noire dit liste blanche, dit liste tout court en faite. Le magasin de l’OS n’est qu’une fonction centralisatrice bien pratique (surtout en entreprise :p), ce n’est pas un point important, Firefox le démontre bien en s’en passant (et fait chier les admins qui veulent faire du MITM dans leur réseau en passant ^^).


votre avatar

Résister… ??? Article intéressant.

&nbsp;

&nbsp;Est-ce la seul face de Google? Bien sur que non. Toutefois depuis le rachat de Boston Dynamics (qui est bien plus discret aujourd’hui) le coté militaire (donc gouvernemental) n’était plus à ignorer dans la stratégie de Google et dans l’analyse qu’on peut en faire.



Les premières video il y a à peu près 5 ans faisait l’effet suivant. “whoa de robots qui courent”. Puis “comme quoi on peut faire de l’embarqué qui fonctionne”. Et enfin; “Ca pourrait faire des armes”…



Tout gouvernement serait complétement fou ou stupide de l’ignorer. Malheureusement c’est mettre le doigt dans un engrenage. Un cocktail qui finira par être dangereux. Trop de concentration n’est jamais bon.

&nbsp;



&nbsp;

votre avatar







Bejarid a écrit :



D’un point de vue strictement légale, Chrome, Edge/IE, Safari et FireFox sont tous des navigateurs dans la maison mère est situé aux Etats Unis. Oui, même la Fondation Mozilla est domicilié la bas. En cas de requête fédérale, tous ces navigateurs devront implémenter ce faux certificat, et toute fuite est passible de perpétuité pour leurs employés là bas. Y a que Opéra et les navigateurs chinois qui pourrait s’y soustraire.



Hé oui.





Sauf que Firefox est un logiciel libre qui donc peut etre forke par n’importe qui. Si mozilla ne prenait aucune decision importante (revocation ou changement de domicile de la maison mere dans le pire des cas), ils perdraient leur credibilite et FF serait forke immediatement.



Il y a vraisemblablement tres peu de chance de voir ces acteurs rester sans rien dire si un tel scandale eclatait sous peine de perdre leurs clients tant la securite est un sujet sensible de nos jours.


votre avatar







Carpette a écrit :



Il y a vraisemblablement tres peu de chance de voir ces acteurs rester sans rien dire si un tel scandale eclatait sous peine de perdre leurs clients tant la securite est un sujet sensible de nos jours.





C’est pour ça que je parle de fuite. Même les autres acteurs réagiraient si ça venait à se savoir.



Hors le simple fait de le faire savoir c’est prison. Ou exile en Russie. Choisit l’exemple que tu préfères.


votre avatar

Nous sommes d’accord alors <img data-src=" />



Edit: Ou piratage par une entite exterieure (slave?) qui veut faire du mal, ou erreur humain etc. Meme les plus grosses entites ne peuvent echapper aux fuites.

votre avatar







regaber a écrit :



Je pense m’acheter un cerveau Google, comme ça je suis bien compatible avec l’ensemble de la chaîne. <img data-src=" />







<img data-src=" />



<img data-src=" /> Ca prouve que t’es un sûrement un vieux !

Maintenant, il est fourni dès la naissance, et gratuitement en plus ! <img data-src=" /> <img data-src=" />


votre avatar

Bravo, maintenant ils peuvent faire du MITM sur tous les sites qu’ils veulent mettre en cache pour “améliorer la vitesse” sur mobile par exemple.

votre avatar

Si seulement… <img data-src=" />



Seulement aucun des GAFA ne pousse DNSSEC par exemple (Google milite pour la transparence des certifs X.509…)



[dredi mais pas que]

Parfois j’ai l’impression que certains acteurs du Net font tout pour préserver la rente des AC (tout en gueulant contre la rente des autres)

[/dredi mais pas que]

votre avatar

Une société qui scanne tes données sans ton accord, qui vole les identifiants WIFI en profitant de Google street view, qui collabore avec la NSA, qui abuse de position dominante pour promouvoir ses propres services, etc. etc. etc.

C’est sur elle est la pour faire le bien !

votre avatar







TexMex a écrit :



Résister… ??? Article intéressant.

 

 Est-ce la seul face de Google? Bien sur que non. Toutefois depuis le rachat de Boston Dynamics (qui est bien plus discret aujourd’hui) le coté militaire (donc gouvernemental) n’était plus à ignorer dans la stratégie de Google et dans l’analyse qu’on peut en faire.

Les premières video il y a à peu près 5 ans faisait l’effet suivant. “whoa de robots qui courent”. Puis “comme quoi on peut faire de l’embarqué qui fonctionne”. Et enfin; “Ca pourrait faire des armes”…

Tout gouvernement serait complétement fou ou stupide de l’ignorer. Malheureusement c’est mettre le doigt dans un engrenage. Un cocktail qui finira par être dangereux. Trop de concentration n’est jamais bon.







Google s’est débarrasé de Boston Dynamics alors que c’etait un des seuls rachats qu’ils ont fait ces dernieres années qui a un enorme potentiel commercial.


votre avatar







AlphaBeta a écrit :



Une société qui scanne tes données sans ton accord





“Malheureusement” non. Tu leur as donné cet accord dans le pavé de la taille du saigneur des anneaux version poche. <img data-src=" />


votre avatar

Je dirai que non. BD même le disent sur leur propre site…

&nbsphttp://www.bostondynamics.com/bd_about.html

&nbsp;Permière phrase : “Boston Dynamics is wholly owned subsidiary of Google, Inc.”



et éventuellement :en.wikipedia.org WikipediaIls veulent le vendre (annonce du 17 Mars 2016)&nbsp; mais cela ne veut pas dire grand chose. On peut acheter des boite les vider des brevets (ou s’en faire droit) et revendre. Ce ne serait pas nouveau. Loin de là.



&nbsp;Il ne faut pas réduire mon propos au seul cas de Boston Dynamics, c’est maladroit pour le moins.&nbsp; Je rejoins Bejarid sur la “concentration” également.

&nbsp;

votre avatar

SI déjà des navigateurs comme Firefox avait un début de prise en charge de DNSSEC/DANE



Après cela poserait des problèmes aux sites web qui utilisent des CDN avec un flux HTTPS.

votre avatar

Y a une extension pour Firefox mais par contre, le ticket ouvert dans BugZilla risque de le rester longtemps.



Le problème est double je pense : les gros acteurs ne déploient pas DNSSEC sur leur domaine, ce qui n’incite pas les dévs à ajouter les fonctions dans leur soft.



Et comme les soft n’ont pas les fonctions,… Sans compter les réfractaires à la chose (arguant des problèmes de la chose. Certains sont réels, d’autres sont bidons et du coup, ça préfère coller des rustine à X.509)



EDIT : ça bougera peut-être si les nouveau TLD (les .pizza, .apple et cie) commencent à être massivement utilisés : l’ICANN exige DNSSEC pour ces domaines de têtes

votre avatar

D’un coté, on veut bien utiliser Google tout les jours mais on n’a pas assez confiance pour en faire une autorité de certification.



Et de l’autre on fait une confiance aveugle à une autorité de certification comme Let’s Encrypt qui est sponsorisé par Google, Cisco, facebook, …



Normal.

votre avatar

ou peut t on trouver ces certificats sur google chrome pour voir s’ils sont a jours &nbsp;?

votre avatar

nan mais si tu essaies d’être cohérent de bout en bout aussi… <img data-src=" />

votre avatar







pyro-700 a écrit :



ou peut t on trouver ces certificats sur google chrome pour voir s’ils sont a jours  ?





option (les 3 carrés en haut à droite) &gt; paramètres &gt; “afficher les paramètres avancés” &gt; gérer les certificats (dans la partie HTTPS/SSLL) (pas encore chez moi)


votre avatar

Ça va c’est vite fait de forcer l’installation du plugin qui permet de forcer des certificats sur Firefox et thunderbird, et si tu fais le MITM directement sur le poste client il y a moyen d’injecter ça de force de façon transparente (Kaspersky, ESET le font, probablement les autres grands aussi)

votre avatar

Est-il possible, avec un outil simple, de limiter certaines autorités de certifications a certains domaines?



Par exemple, si je ne veux pas accepter des certificats pourhttps://yahoo.com qui auraient été signes par google/(ou par une entite turque par exemple)?

Google est désormais une autorité de certification racine

  • Une transition invisible pour l'utilisateur

  • Les développeurs passeront par les Google Trust Services

  • Tous les œufs dans le même panier ?

Fermer