Des certificats HTTPS supprimés à cause d’une fuite de clés

Au début du mois de mars 2018, c’est une affaire inédite qui a fait la Une des sites web dédiés à la sécurité informatique. En effet, plus de 20 000 certificats HTTPS ont dû être supprimés dans l’urgence après qu’un revendeur ait adressé un mail contenant les clés privées correspondantes à l’organisme de certification.

23 000 certificats HTTPS annulés par la force des choses

Décidément, depuis quelques semaines, le torchon brûle entre le revendeur de certificats HTTPS Trustico et l’organisme de certification DigiCert.

En effet, au début du mois de février, un membre des équipes de Trustico a informé DigiCert que certains certificats HTTPS avaient été compromis et il a par conséquent demandé leur annulation.

Désireuse d’avoir des preuves, DigiCert a demandé davantage d’informations et leur interlocuteur leur a répondu être en possession d’une copie des clés privées liées à ces certificats HTTPS. Il leur a donc adressé celles-ci par mail et l’organisme a été contraint de supprimer près de 23 000 certificats HTTPS. Il a en revanche refusé de donner suite aux demandes de Trustico pour des certificats supplémentaires, les clés privées ne lui ayant pas été communiquées.

Une guéguerre sur le marché des certificats HTTPS

Suite à l’annulation des certificats HTTPS, DigiCert a trouvé bon d’envoyer un mail aux clients de Trustico afin de les informer de la situation tout en précisant que cette entreprise n’avait rien dit de la manière dont elle s’était procurée la copie des clés privées.

Trustico a peu apprécié cette manière de faire et a tenu à signaler que jamais il n’avait signalé à DigiCert que les clés privées avaient été compromises. En revanche, le revendeur admet avoir évoqué des problèmes de sécurité liés à son compte Symantec, l’entreprise à qui DigiCert a acquis l’activité de certification quelques mois plus tôt.

Au final, les deux entreprises ont sévèrement écorné leur image. Trustico a depuis fait part du fait qu’il ne vendrait plus les certificats SSL Symantec. Il s’est en revanche engagé, avec DigiCert, à offrir gratuitement les certificats HTTPS aux 23 000 clients qui en ont été privés sur ce qui ressemble à un malentendu … ou à une volonté de semer la zizanie…

A noter qu’en France, il existe de nombreux revendeurs de certificats SSL de qualité si vous désirez garantir une connexion sécurisée entre le navigateur et votre serveur web.

Laisser un commentaire