Plus de 83 000 certificats de près de 7 000 clients de DigiCert doivent être remplacés dès maintenant.

Alors que le drame de DigiCert continue, nous avons maintenant une meilleure idée de l’ampleur du problème – avec le responsable de la sécurité informatique de l’organisation admettant que la révocation massive des certificats SSL/TLS touchera des dizaines de milliers de clients, certains d’entre eux ayant averti que le court délai pourrait avoir des implications de sécurité réelles et perturber des services critiques. Un bref rappel de ce qui s’est passé : le 29 juillet, l’autorité de certification a déclaré qu’au moins certains clients avaient seulement 24 heures pour remplacer leurs certificats de sécurité précédemment délivrés en raison d’une faille de programmation vieille de cinq ans dans ses systèmes. C’est assez technique, et vous pouvez tout lire à ce sujet dans notre précédent article. Cela concerne essentiellement une validation de propriété de domaine défaillante, des nombres aléatoires et des tirets bas, aboutissant à une sélection de certificats émis considérés comme peu fiables et donc nécessitant une révocation et un remplacement immédiats. Cela a affecté environ « 0,4 % des validations de domaine applicables » que DigiCert avait déjà traitées pour ses clients, selon l’AC. Mais il n’a pas chiffré ce pourcentage de 0,4 %. Un certain post sur Mozilla Bugzilla, cependant, évalue le nombre de certificats en dizaines de milliers. « Nous avons identifié 83 267 certificats impactant 6 807 abonnés », a noté le CISO de DigiCert Jeremy Rowley. « Nous prévoyons de commencer les révocations dans la fenêtre de 24 heures ».

Share the Post: