Connexions chiffrées : l’autorité StartCom jette l’éponge

Fin 2016, Apple et Mozilla annonçaient retirer la confiance accordée à l’autorité de certification. Comme WoSign, elle est accusée d’avoir antidaté des certificats SHA-1 pour allonger leur durée de vie, malgré d’importants risques de sécurité.

StartCom fournit notamment les certificats gratuits StartSSL, utilisés avant la mise en place de Let’s Encrypt, qui a démocratisé les connexions chiffrées en TLS.

« Malgré les efforts de StartCom, jusqu’ici, il n’y a aucune indication claire des navigateurs que StartCom puisse regagner leur confiance » écrit l’entreprise. Au 1er janvier, elle cessera d’émettre de nouveaux certificats, et tous seront révoqués en 2020. Sur un forum de Mozilla, un ancien ingénieur juge durement l’entreprise, qualifiant sa direction d’« escrocs ».

L’affaire se déroule en parallèle de la débâcle de Symantec, qui a revendu son autorité de certification à DigiCert, après le retrait de la confiance accordée par Google Chrome… suite à des années de mauvaises pratiques.