Le 12 février 2018 à 22:23, Jacques Belin jbelin@oryva.net a écrit :
Attention, dans cette affaire, Chrome a annoncé qu'il ne faisait plus confiance à Symantec. Mais ce n'est pas allé beaucoup plus loin.
Par contre, Mozilla est allé un pas plus loin, en se posant la question de la confiance qui pouvait être transférée lors le rachat de Symantec par Digicert, et a posté un article de blog à ce sujet :
https://blog.mozilla.org/security/2017/10/31/statement-digicerts-proposed-pu...
Le post date de novembre et ne semble pas avoir eu de suite, mais on peut penser qu'ils ont Digicert à l'oeil et que pour le moindre problème, ils pourraient les ejecter aussi...
Ce post a été publié en pleine discussion sur le rachat des activités SSL de Symantec par DigiCert. Il était notamment question à l'époque de savoir si DigiCert allait ou non remplacer l'infra et les procédures Symantec, reconnues comme défaillantes à de nombreuses reprises, par les siennes (qui pour le coup sont assez irréprochables).
La question a été réglée puisque tous les backends et procédures utilisées lorsque vous commandez chez un CA Symantec sont désormais ceux de DigiCert.
Dans tous les cas : - Chaque CA a été migré sur un certificat intermédiaire chez DigiCert. Dans le cas ou un navigateur choisirait de ne plus faire confiance à un des CA Symantec, seul le certificat intermédiaire en question serait révoqué, et non le CA racine DigiCert. - Une décision de retrait de confiance par les navigateur n'est jamais prise à la légère, et ils évitent de prendre des décisions qui "casseraient" Internet. D'ailleurs dans le cas des CA Symantec, le retrait de la confiance a été très progressif.