C’est par une annonce publique sur le forum Mozilla/dev/Sec ainsi que par un billet de Blog que DigiCert annonce la répudiation de près de 23000 certificats SSL commercialisés par l’un de ses revendeurs Britanniques, Trustico.
Initialement, c’est le revendeur lui-même qui demande à DigiCert, en début du mois de février, la révocation de plus de 50 000 certificats provenant de l’ancienne infrastructure C.A. de Symantec. Or, les PKI de Symantec, tout comme celles de Tawte, RapidSSL, Verisign et Geotrust, ont été rachetées par DigiCert courant 2017. La demande est légitime et s’adresse bien aux bonnes personnes.
Mais est-elle justifiée ? s’interroge l’Autorité. Car en général, une demande de répudiation relève de la responsabilité de son possesseur (ou du C.A. pour des raisons techniques), et non d’un intermédiaire. Les administrateurs de DigiCert exigent des explications et des preuves, ce à quoi la société Britannique répond en expédiant, par email, quelques 23000 clefs privées, lesquelles ne sont a priori jamais détenues par un intermédiaire. Fut-il de confiance. Le courrier électronique n’étant pas particulièrement répertorié au nombre des procédures de transmissions sécurisées et la possession des clefs privées prouvant la vulnérabilité de la chaîne de confiance, les 23000 certificats en question font l’objet d’une procédure d’immolation immédiate. Ce qui place au passage quelques administrateurs de serveur Web https dans un certain embarras.
Si l’on en croit les responsables de Trustico, il n’y a jamais eu compromission de leurs propres serveurs, la révocation n’étant justifiée que par le manque de confiance envers l’infrastructure Symantec qui avait, par le passé, connu quelques problèmes de sécurité. Ce que n’explique pas en revanche ces mêmes responsables, c’est la manière avec laquelle ils sont entrés en possession des clefs privées.