Firefox vient de refuser l’inclusion du certificat de l’ANCE

Firefox refuse d’inclure le certificat de l’ANCE pour cause de défaillances techniques

Après une attente de 2 ans, le verdict de Firefox vient de tomber : Le certificat de l’ANCE ne sera pas accepté, il faudra réinstaller le serveur root.

L’Agence Nationale de Certification Electronique avait déposé une demande pour inclure son certificat racine dans les navigateurs Firefox, cette inclusion fera de l’ANCE une autorité reconnue et évitera les messages d’erreurs qui s’affiche pour tout utilisateur accédant à un site protégé par un certificat tunisien.

L’ANCE avait beaucoup investi pour atteindre cette reconnaissance, et avait même été auditée par un organisme français (LSTI) en 2015 qui, selon son rapport, considère que l’ANCE est 100% conforme. Sauf que la groupe de travail de la communauté Firefox avait fait ses tests et il a jugé que le serveur Root n’est pas conforme à leurs conditions techniques, considérant qu’il ne suffit pas de corriger les problèmes un après l’autre durant le processus de validation qu’une autorité de certification doit être fiable et la confiance doit être gagnée.

En ce qui concerne les prochaines étapes, le gouvernement tunisien est invité à soumettre une nouvelle racine (en utilisant une paire de clés nouvellement générée) pour faire l’inclusion. Le bug actuel peut être rouvert et utilisé pour la nouvelle requête, mais il devra encore passer par tout le processus. Le seul «raccourci» réel dans le processus d’inclusion – comme l’ont démontré récemment quelques CA qui ont terminé le processus en 9 à 18 mois) – est que toutes les exigences soient entièrement satisfaites avant que la demande ne soit examinée. Les tests effectués pendant le processus de vérification des informations sont documentés, et toutes les demandes d’inclusion précédentes sont accessibles au public dans Bugzilla et dans les archives de cette liste, donc cela ne devrait pas être aussi difficile qu’il semble l’être (Wayne Thayer).

Une remarque a été soulevé par Rayen Sleevi et qui suscite une bonne réflexion: Je ne sais pas pourquoi le gouvernement tunisien estime qu’il devrait déployer une autorité de certification de confiance publique, donc je ne sais pas s’il existe d’autres alternatives à suggérer plus rapide, plus sûre et plus fiable pour offrir une base de confiance. Si cela devait être partagé, il y a peut-être d’autres solutions peut travailler. En l’absence de cela, l’échec à un niveau basique et au niveau des compétences fondamentales pour être une autorité de confiance publique devrait  être préoccupant.

Ceci est un coup dur pour l’économie numérique tunisienne, qui s’illustre bien sur les plans stratégiques, la législation en cours de développement et dans les discours des  hauts responsables, mais qui reste très loin de la réalité du terrain.  Beaucoup de choses sont à revoir, surtout pour la certification électronique, qui continue à poser de grands problèmes pour les entreprises tunisiennes se retrouvant obligées d’acheter des certificats de l’étranger alors que la Tunisie avait commencé à travailler sur ce sujet depuis l’année 2000.

Il est temps d’ouvrir un vrai débat et d’inclure les autres parties prenantes comme le secteur privé et la société civile qui ont leur mot à dire. L’Etat avait créé un monopole, et voilà qu’aujourd’hui qu’on est victime de ce monopole.

Pour avoir plus de détails techniques sur la requête d’inclusion et les arguments de refus vous pouvez consulter la discussion sur : https://bugzilla.mozilla.org/show_bug.cgi?id=1233645

Article de Cyber.tn

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *