Tags populaires:
Virtualisation sécurité DNS vérification formelle analyse d'atteignabilité erreurs du compilateur conflit de macro extension web framework de développement Graphiques bitmap incohérences d'API Tous les tags

Faille de validation de domaine SSL.com : vérification incorrecte des domaines de messagerie

2025-04-19

Une faille de sécurité a été découverte dans le système de validation de domaine de SSL.com. En exploitant la méthode BR 3.2.2.4.14 DCV (Email vers DNS TXT Contact), un attaquant peut tromper le système pour qu'il vérifie son domaine de messagerie, obtenant ainsi des certificats non autorisés. Par exemple, en utilisant `[email protected]` comme email de vérification, SSL.com a incorrectement ajouté `aliyun.com` à la liste des domaines vérifiés, permettant à l'attaquant d'obtenir des certificats pour `aliyun.com` et `www.aliyun.com`. Cela indique une incapacité à différencier précisément entre l'email de vérification et le domaine cible, ce qui représente un risque de sécurité important.

Lire plus
(bugzilla.mozilla.org)
Technologie validation de domaine

DigiCert tente de faire taire le débat ouvert sur les questions de sécurité WebPKI

2025-02-25

Suite aux commentaires du responsable de la conformité de Sectigo, Tim Callan, sur le forum Bugzilla concernant les pratiques de certificats de DigiCert, les avocats de DigiCert ont tenté de faire taire le débat en menaçant de poursuites judiciaires. Le conseiller général de Sectigo, Brian Holland, a répondu que les déclarations de Callan sont protégées par le Premier Amendement et visaient à promouvoir un débat ouvert sur des questions importantes du WebPKI. Holland soutient que les actions de DigiCert nuisent au système d'autorégulation du WebPKI et appelle l'industrie à la vigilance pour éviter des incidents similaires. L'incident met en lumière la sécurité et la transparence du WebPKI, ainsi que les responsabilités et les droits des entreprises dans le discours public.

Lire plus
(bugzilla.mozilla.org)
Technologie Action en justice

La tentative hilarante d'Honest Achmed pour devenir une autorité de certification racine Mozilla

2025-01-18

Honest Achmed, un particulier, a soumis une demande pour ajouter son certificat racine au magasin de confiance de Mozilla. Sa demande, pleine d'humour et d'ironie, détaillait un plan d'affaires ambitieux : vendre suffisamment de certificats pour devenir « trop gros pour faire faillite », échappant ainsi à la réglementation. Mozilla a finalement rejeté la demande comme invalide, mais le fil de discussion Bugzilla a suscité un débat animé entre les développeurs, rempli de blagues et de commentaires sur l'état de l'industrie des autorités de certification.

Lire plus
(bugzilla.mozilla.org)
Divers Certificat racine Autorité de certification