Aller au contenu principal

7.4. X.509 Certificate Spoofing (Usurpation de certificat X.509)

7.4. X.509 Certificate Spoofing (Usurpation de certificat X.509)

Si la méthode PKI d'authentification client est utilisée, un attaquant pourrait tenter d'usurper l'identité d'un client en utilisant un certificat avec le même sujet (DN ou SAN) mais délivré par une autre CA en laquelle le serveur d'autorisation a confiance. Pour faire face à cette menace, le serveur d'autorisation DEVRAIT n'accepter, comme ancres de confiance, qu'un nombre limité de CA dont la politique de délivrance de certificats répond à ses exigences de sécurité. On suppose alors que le client et le serveur conviennent hors bande de l'ensemble des ancres de confiance que le serveur utilise pour créer et valider la chaîne de certificats. Sans cette hypothèse, l'utilisation d'un sujet pour identifier le certificat client exposerait le serveur à des attaques par usurpation de certificat.

Dernière mise à jour le