Des certificats de Sun compromis
Date : 26 Juillet 2005
Des certificats de Sun compromis
Un des serveurs de certificats de Sun a récemment été compromis. Ainsi les certificats (documents électroniques utilisé pour créer une relation de confiance entre un client et un serveur) émis par ce dernier ne sont plus dignes de confiance car ils peuvent être utilisés pour authentifier des sites malveillants.
Les numéros de séries des certificats corrompus sont les suivants :
- 3181 B12D C422 SDAC A340 CF86 2710 ABE6 pour le certificat destiné à Internet Explorer,
- 17:05:FB:13:A2:2F:9A:F3:C1:30:F5:62:6E:12:50:4C pour le certificat destiné à Netscape Communicator (sauf Netscape6),
- 1705FB13A22F9AF3C130F5626E12504C pour le certificat destiné à Netscape6.
Il est recommandé de vérifier la présence de tels certificats sur les navigateurs.
Document permettant de vérifier si un navigateur a accepté un certificat de Sun corrompu : http://sunsolve5.sun.com/secbull/certificate_howto.html
Avis de Sun : http://sunsolve.sun.com/pub-cgi/retrieve.pl?doctype=coll&doc=secbull/198&type=0&nav=sec.sba
Contrairement à beaucoup de ses homologues, le Cert-IST n'a pas fait de cette information un avis de sécurité, la jugeant d'un impact marginal par rapport aux pratiques connues de ses partenaires et clients. S'il s'avérait que ce jugement était erroné, nous vous remercions de nous le signaler et nous rectifierons cette position.