Le gouvernement américain n'a pas renouvelé plus de 80 certificats TLS en raison de l'arrêt

Le certificat DigiCert utilisé par le site Web de la Cour d'appel des États-Unis a expiré le 5 janvier 2019 et n'a pas été renouvelé. Le site contient des liens vers le système d'archivage des documents et PACER (système d'accès du public aux dossiers électroniques judiciaires)

Selon une étude de Netcraft, des dizaines de sites du gouvernement américain sont devenus non sécurisés ou inaccessibles lors de la fermeture fédérale en cours. Parmi eux se trouvent d'importants portails de paiement et services d'accès à distance utilisés par la NASA, le département américain de la Justice et la Cour d'appel.

Environ 400 000 employés fédéraux sont actuellement en congé forcé. Il n'est donc pas trop surprenant que personne n'ait pris la peine de renouveler plus de 80 certificats TLS sur des sites gouvernementaux de la zone .gov. La situation est aggravée par le fait que certains de ces sites abandonnés sont devenus inaccessibles en raison de la stricte politique de sécurité HSTS mise en place avant la fermeture.

Un exemple est https://ows2.usdoj.gov , le site Web du Département américain de la Justice. Son certificat a expiré une semaine avant la fermeture. Le certificat a été signé par une autorité de certification GoDaddy de confiance, mais n'a pas été mis à jour depuis son expiration le 17 décembre 2018.


Tous les sous-domaines du département américain de la Justice sont couverts par la politique HSTS. Combiné avec un certificat TLS expiré, cela empêche actuellement les utilisateurs d'ignorer les avertissements et de se connecter au site.

Le domaine usdoj.gov et tous ses sous-domaines sont inclus dans la liste de préchargement HSTS Chromium . Il s'agit d'une mesure de sécurité raisonnable qui oblige les navigateurs modernes à utiliser uniquement des protocoles sécurisés et cryptés lors de l'accès aux sites Web du ministère de la Justice. Dans le même temps, l'accès est bloqué lorsqu'un certificat expiré est découvert. Dans ces cas, les navigateurs modernes, tels que Google Chrome et Mozilla Firefox, cachent intentionnellement une option avancée qui permettra à l'utilisateur de contourner l'avertissement et d'accéder au site.

Reconnaissant la situation pitoyable, les experts de Netcraft pensent qu'encore entre convivialité et sécurité, vous devriez choisir la seconde, si vous ne pouvez pas obtenir les deux. Si les utilisateurs avaient la possibilité d'ignorer ces avertissements, ils deviendraient vulnérables aux attaques telles que MiTM, que les certificats TLS sont conçus pour gérer.

Cependant, la stratégie HSTS correcte n'est configurée que sur quelques sites .gov. Ils apparaissent dans la liste de préchargement HSTS et les autres essaient de définir la stratégie via l'en-tête HTTP Strict-Transport-Security. Une telle politique ne sera pas exécutée avec un certificat expiré; elle n'est effective que si l'utilisateur a déjà visité des sites auparavant.

Ainsi, sur la plupart des sites concernés, un avertissement de sécurité sera affiché que l'utilisateur peut contourner, écrit Netcraft: «Cela crée des problèmes de sécurité, car les utilisateurs sont plus susceptibles d'ignorer ces avertissements de sécurité et de devenir vulnérables aux attaques comme MiTM.»


Ce site de la NASA utilise toujours un certificat expiré, mais le domaine ne figure pas sur la liste préliminaire de HSTS. Ainsi, les utilisateurs peuvent ignorer les avertissements du navigateur et accéder au site

Par exemple, le domaine https://rockettest.nasa.gov/ n'est pas inclus dans la liste de préchargement HSTS et le certificat a expiré le 5 janvier 2019.

Un autre exemple illustre le danger potentiel d'ignorer les avertissements de sécurité du navigateur. Le certificat de site de Berkeley Lab https://d2l.lbl.gov a expiré le 8 janvier 2019 (bien que le Berkeley Lab ne soit pas affecté par la fermeture) et n'a pas encore été remplacé. Comme il n'y a pas de stratégie HSTS efficace, les utilisateurs peuvent ignorer les avertissements du navigateur et accéder au formulaire de connexion. Dans cet exemple, cliquer à côté de la barre d'adresse du navigateur conseillera explicitement à l'utilisateur de ne laisser aucune information confidentielle sur la page.

La fermeture du gouvernement était due à la position obstinée des deux parties sur la scène politique américaine. Le président Donald Trump ne veut pas faire de compromis sur le mur avec le Mexique, et les démocrates refusent d'approuver un budget de 5,7 milliards de dollars pour construire le mur. Si la fermeture dure et que les employés fédéraux restent en vacances, dans un avenir proche, encore plus de sites gouvernementaux pourraient ne pas être disponibles en raison de l'expiration des certificats TLS.