La société Turktrust SSL business se voit dans l’obligation d’arrêter son activité commerciale de certification SSL.
Ils l’ont annoncé sur la mailing list du CAB-Forum, le groupe de gestion des autorités de certification pour les navigateurs Web.
Pour fournir des certificats SSL, la démarche est la suivante, il faut contacter les gestionnaires de magasins d’autorité pour leur demander d’ajouter votre certificat racine à leur catalogue.
C’est ainsi qu’en 2015 Let’s Encrypt a commencé à être approuvé par les gestionnaires de magasins dont les plus connus sont Microsoft, Google, Mozilla, Apple et Debian.
Et pour Turktrust c’est justement là que le bât blesse , Apple, contrairement à tous les autres cités plus tôt, n’a toujours pas ajouté le nouveau certificat racine de Turktrust.
Le certificat actuel est valable jusqu’en 2023 mais Turktrust ne peut valider ses autres certificats racines et donc assurer la pérennité de son business à long terme.
En effet, sans cette reconnaissance, aucun utilisateur de iOS (iPhone, Mac OS X) ne pourra consulter correctement un site certifié par Turktrust.
Alors qu’ils ont suivi le processus d’accréditation sans faute depuis 2013, Apple ne leur a apporté aucune réponse depuis la mi-2014.
Ce silence est intolérable de la part d’une société qui se retrouve de-facto garant de la sécurité des sites web.
À quoi joue Apple ? Est-ce simplement de l’incompétence ou y a t’il une volonté de réduire les autorité de certification à quelques grosses société américaines ?
En tout cas, ce genre de comportement ne rassure en rien sur la capacité d’Apple à coopérer sainement en matière de sécurité informatique.
Apple est incompétent en HTTPS
Apple joue les innovateurs, souvent même se permet de donner aux leçons aux autres.
Mais dans beaucoup de domaines, Apple est juste incompétent. Volontairement ou par négligence, Apple menace le business model de certaines entreprises et pire, menace le modèle de confiance sur lequel repose HTTPS, c’est à dire l’authentification des sites Web.