Mozilla va appliquer plus strictement les bonnes pratiques sur les certificats SSL dans les prochaines versions de son navigateur web Firefox. Il s'appuiera sur un nouveau système de vérification des certificats, recourant à une bibliothèque appelée mozilla::pkix. Celle-ci commencera à être utilisée avec la version 31 de Firefox, attendue pour juillet prochain.

Bon nombre des modifications apportées par cette librairie sont subtils et liés à des exigences techniques communiquées par le Forum CA/Browser qui regroupe des autorités de certification et des fournisseurs d'applications utilisant notamment SSL/TLS. Toutefois, certaines d'entre elles découlent aussi de changements apportés par l'éditeur de Firefox à sa propre politique de confiance vis-à-vis des certificats. Par exemple, un document sur la bibliothèque mozilla::pkix décrit certaines exigences destinées à prévenir l'utilisation abusive d'autorités de certification subordonnée ou intermédiaires qui pourrait être utilisées pour fournir des certificats SSL pour n'importe quel domaine sur Internet.

Une chasse aux bug dotée de 10 000 dollars

Mozilla a par ailleurs ouvert un programme de recherche de bugs spécial doté de 10 000 dollars. La récompense sera attribuée pour toute faille de sécurité critique trouvée dans le code de la nouvelle bibliothèque d'ici fin juin.

« Comme il nous a été douloureusement rappelé que la rectitude du code dans les bibliothèques TLS était cruciale sur Internet aujourd'hui, nous voulons nous assurer que ce code est solide comme le roc avant de le livrer à des millions d'utilisateurs de Firefox », a indiqué hier Daniel Veditz, responsable en sécurité de l'éditeur. « Nous nous intéressons principalement à des bugs qui permettent la construction de chaînes de certificat qui sont acceptées comme valides alors qu'elles devraient être rejetées, et à des bugs dans le nouveau code qui conduiraient à exploiter une corruption de mémoire ».