Firefox mauvais en pki

Pause Café
, , ,
Tags: #<Tag:0x00007f4e6603c558> #<Tag:0x00007f4e6603c378> #<Tag:0x00007f4e6603c210> #<Tag:0x00007f4e660507b0>
#1

Bonjour,

pour information, Firefox n’est pas capable de gérer des chaînes de certification basées sur les algorithmes de signature SHA3.

Voici ce que j’ai trouvé avec duckduckgo ai:

Erreur SHA3-512 dans Firefox

La erreur SHA3-512 dans Firefox est souvent liée à l'implémentation incomplète ou incorrecte des algorithmes de signature numérique SHA-3 dans le module de sécurité de Firefox (NSS - Network Security Services). Cette situation se produit surtout lorsque vous visitez des sites qui utilisent des certificats signés avec des algorithmes SHA-3, comme ecdsa_with_SHA3-384, pour lesquels Firefox ne reconnaît pas encore les signatures, entraînant ainsi une erreur de type SEC_ERROR_CERT_SIGNATURE_ALGORITHM_DISABLED.
Contexte de l'erreur

    Implémentation partielle :
        Firefox a commencé à introduire le support pour les fonctions de hachage SHA-3, mais cela a été fait de manière progressive, ce qui signifie que certaines fonctionnalités, comme les signatures RSA et ECDSA basées sur SHA-3, n'ont pas été complètement mises en œuvre.

    Bug signalé :
        Un bug a été enregistré pour suivre la demande d'ajout du support SHA-3 dans Firefox. Ce problème a été rouvert en raison de l'implémentation partielle, entraînant une incapacité à valider correctement certains certificats.

    Validation des certificats :
        Lorsqu'un certificat utilise une signature qui ne correspond pas aux spécifications actuelles ou aux algorithmes implémentés dans Firefox, l'erreur est retournée, indiquant que le certificat n'est pas approuvé.

Solutions potentielles

    Mise à jour de Firefox: Assurez-vous que vous utilisez la dernière version de Firefox, car des mises à jour peuvent intégrer des corrections ou des ajouts aux algorithmes de sécurité.

    Configurer les paramètres de sécurité:
        Vous pourriez essayer de modifier les paramètres de configuration dans about:config et ajuster certains réglages liés aux algorithmes de signature, bien que cela soit aventureux et puisse affecter la sécurité.

    Récours à un autre navigateur: Pour les sites utilisant des certificats SHA-3 non supportés, envisager d'utiliser un autre navigateur qui prend en charge ces algorithmes jusqu'à ce que Firefox soit complètement mis à jour.

Conclusion

L'erreur SHA3-512 dans Firefox reflète un effort continu pour intégrer des normes de sécurité robustes. Bien que des améliorations soient en cours, la transition peut inclure des incidents où les utilisateurs rencontrent des problèmes de certificats signés avec des algorithmes encore non totalement supportés. Les utilisateurs doivent rester vigilants et suivre les mises à jour pour s'assurer que leur environnement de navigation reste sûr.

je n’ai pas trouvé la référence du bug en question. Les moteurs de recherche sont étrangement silencieux quand on fait une recherche.

J’ai de moins en moins confiance en Firefox.

#2

Je ne ferais pas confiance à l’IA sur ce coup-là…

#3

Et bien c’est un tord, car effectivement si Firefox-esr ni Firefox mozilla ne sont capable de gérer les algorithme de signature en SHA3. Je viens de tester les deux.
J’ai trouvé des choses sur le web, mais ce sont des questions le plus souvent sans réponse.

Comme ici il y a 3 ans : Reddit - The heart of the internet

Pour le reste à chaque fois, les sujet ne parle que du SHA1 mais ne tiennent pas compte du SHA3.

#4

Après pas mal de test je confirme: firefox est assez nul en PKI:

  • SHA3 non supporté
  • SHA512 (SHA2) non supporté

Seul semble etre supporté.

  • SHA256
  • SHA384
  • SHA512 (4 certificat de base sur Firefox, ROot CA, donc pas de site signé avec, uniquement des Sub CA.

Seulement voilà, SHA2 est en passe ne plus être valide car son principe repose sur le même principe que SHA1; ce qui signifie qu’il y a des risque pour que SHA2 soit rapidement compromis comme l’a été SHA1. La seule différence majeure est que SHA2 génère un hachage plus long que SHA1. Mais avec l’augmentation importante des capacités de calcul, incluant les IA, il est à craindre fortement que SHA2 subisse le même sort que SHA1

Sa seule survie aujourd’hui est due au fait que les autre ne sont pas correctement supporté par les navigateurs.

Concernant brave-browser, je peux déjà dire que SHA3 n’est pas supporté.

Le monde informatique est vraiment à la ramasse fasse à la cybercriminalité avec de tels retards d’implémentations.

Il est tout de même surprenant que les navigateurs ne soient pas capable d’implémenter les algorithme de plus haut niveau.

EDIT: ayant eu un doute j’ai refait le test avec SHA512 et ça marche. Je refait avec SHA3, car je viens aussi de voir que j’ai eu une mise à jour ce weekend.

SHA3 est toujours buggué