Fin 2016, Apple et Mozilla annonçaient retirer la confiance accordée à l'autorité de certification. Comme WoSign, elle est accusée d'avoir antidaté des certificats SHA-1 pour allonger leur durée de vie, malgré d'importants risques de sécurité.
StartCom fournit notamment les certificats gratuits StartSSL, utilisés avant la mise en place de Let's Encrypt, qui a démocratisé les connexions chiffrées en TLS.
« Malgré les efforts de StartCom, jusqu'ici, il n'y a aucune indication claire des navigateurs que StartCom puisse regagner leur confiance » écrit l'entreprise. Au 1er janvier, elle cessera d'émettre de nouveaux certificats, et tous seront révoqués en 2020. Sur un forum de Mozilla, un ancien ingénieur juge durement l'entreprise, qualifiant sa direction d'« escrocs ».
L'affaire se déroule en parallèle de la débâcle de Symantec, qui a revendu son autorité de certification à DigiCert, après le retrait de la confiance accordée par Google Chrome... suite à des années de mauvaises pratiques.
Commentaires (5)
#1
Ils récoltent ce qu’ils ont semé..mais certains profitent de leur monopole pour imposer leur choix ^^“.
Est ce mieux en fin de compte ….
#2
Il n’y a donc plus qu’une seule source de certificats gratuits.
#3
Reste Comodo aussi :)
https://ssl.comodo.com/free-ssl-certificate.php?track=8177
#4
Nan, t’a encore Comodo, Let’s Encrypt et CACert
#5
Ah super.
J’utilise CACert, mais je ne l’ai pas compté car malheureusement pas reconnu par les navigateurs.