Informations sur l'entreprise

Vulnérabilité dans l’application de Subject Alternative Names (SANs) pour les certificats VeriSign

La fonctionnalité SANs de GlobalSign n’est pas vulnérable aux problèmes d’application de VeriSign récemment identifiés.

Au cours des derniers jours, un certain nombre de partenaires réputés ont indiqué à GlobalSign l’introduction par VeriSign d’une caractéristique automatique d’ajout de Subject Alternative Names (SANs) à ses marques GeoTrust et RapidSSL. La fonctionnalité de ces certificats permet à un demandeur de spécifier un nom de domaine à plusieurs niveaux (par exemple shared.hosting.com) comme nom de domaine dans la demande, et VeriSign ajoutera le nom de base (dans ce cas hosting.com) en entrée de Subject Alternative Name. Ceci permet au demandeur d’utiliser le certificat émis pour shared.hosting.com ainsi que hosting.com. Le client de shared.hosting.com pouvant seulement contrôler le domaine shared.hosting.com et la société d’hébergement étant propriétaire de hosting.com, GlobalSign considère qu’il s’agit d’une vulnérabilité considérable dans l’application de SANs, en particulier dans la communauté de l’hébergement partagé dans laquelle de nombreuses sociétés d’hébergement offrent l’utilisation de sous domaines appartenant au nom de domaine de premier niveau de l’hébergeur.

Etant donne l’impact potentiel de ce type d’application, GlobalSign a directement indiqué cette vulnérabilité d’application à VeriSign. Le 12 mars 2010, VeriSign a déclaré avoir cessé d’émettre des certificats de cette façon. Pour toute question à ce sujet, nous conseillons à tout client de contacter VeriSign directement. Il est probable que VeriSign vérifie les certificats récemment émis, et révoque et ré-émette les certificats en question (l’équivalent d’un rappel de produits en matière de certificats électroniques).

Cette vulnérabilité ne s’applique qu’aux certificats VeriSign de marque GeoTrust et RapidSSL. Elle n’affecte pas les certificats GlobalSign – notre modèle de sécurité implique de confirmer le contrôle du domaine avant d’inclure les SANs. Les sociétés d’hébergement utilisant des certificats SANs de GlobalSign n’ont aucune raison de s’inquiéter.

Nous recommandons à tout client ou partenaire VeriSign s’inquiétant de la façon dont ce problème a pu les affecter de contacter VeriSign immédiatement.

 

A propos de GlobalSign
Fondée en 1996 et Autorité de Certification accréditée WebTrust, GlobalSign fournit des certificats SSL reconnus publiquement, incluant des certificats EV SSL, Service de gestion SSL, sécurité e-mail S/MIME et signature de code pour un usage sur toutes les plateformes y compris les appareils mobiles. Sa solution de Trusted Root utilise les certificats racine très répandus d'Autorité de Certification GlobalSign pour créer une confiance immédiate pour les services de certificats Microsoft et infrastructures à clé publique internes, éliminant ainsi les coùts associés à l'usage de certificats racine non reconnus. Son partenariat avec Adobe pour fournir des Certified Document Services (CDS) permet de sécuriser des documents PDF signés électroniquement, des transcriptions certifiées et des factures électroniques. Ces solutions par certificat numérique permettent à des milliers de clients authentifiés d'exécuter leurs transactions en ligne ou leurs transferts de données en toute sécurité, de fournir des codes infalsifiables et de protéger des identités en ligne pour sécuriser les courriers électroniques et assurer un contrôle d'accès. La société a acquis un large savoir-faire dans le domaine de la sécurité en ligne et a des bureaux aux Etats-Unis, au Royaume Uni, en Belgique, au Japon et en Chine.

GMO Internet Group
GMO Internet Group, dont le siège social est basé au Japon, est un des principaux leaders dans l'industrie du Web, offrant l'une des gammes les plus complètes de services Internet dans le monde entier. Le groupe détient des parts de marché nationales dans l'enregistrement de noms de domaine, d'hébergement web et de processus de paiements et fournit un ensemble d'autres services Internet, incluant des services de sécurité en ligne dans le monde entier, des solutions e-commerce et la publicité internet aux entreprises comme aux particuliers. Au centre du Groupe se trouve GMO Internet INC., une société cotée sur la prestigieuse section du Tokyo Stock Exchange (TSE :9449). Visitez www.gmo.jp/en pour en savoir plus.

Pour plus d'informations, veuillez contacter :

Steve Waite
GlobalSign
+32 16 891900 / +44 1622 766766
press@globalsign.com