SSL/TLS Certificate Hostname Mismatch

Incompatibilité de nom d'hôte de certificat SSL/TLS

Risk: medium

Description

Une incompatibilité de nom d'hôte se produit lorsque le nom de domaine spécifié dans un certificat SSL/TLS ne correspond pas au nom d'hôte réel du serveur qu'il protège. Cette incompatibilité entraîne des avertissements de sécurité dans les navigateurs et peut exposer la connexion à des vulnérabilités potentielles, y compris les attaques de l'homme du milieu (MitM).

Lorsqu'un navigateur ou un client se connecte à un site Web, il vérifie si le nom de domaine correspond au nom commun (CN) ou à l'un des champs de nom alternatif du sujet (SAN) du certificat. S'il y a une incompatibilité entre le nom d'hôte et le certificat, les navigateurs émettent des avertissements de sécurité tels que "Votre connexion n'est pas privée", ce qui peut décourager les utilisateurs de continuer et nuire à la confiance des utilisateurs. Ces avertissements, s'ils sont ignorés, exposent les utilisateurs au risque de se connecter à un site malveillant.

Un risque de sécurité critique lié à l'incompatibilité de nom d'hôte est le potentiel d'attaques MitM. Dans ce scénario, un attaquant pourrait présenter un certificat valide pour un domaine différent, créant l'illusion d'une connexion sécurisée tout en interceptant ou en falsifiant la communication. De telles attaques sont particulièrement problématiques lorsque les utilisateurs ignorent les avertissements de sécurité et continuent vers le site malgré l'incompatibilité.

Les incompatibilités de nom d'hôte peuvent également résulter d'une configuration incorrecte des certificats génériques (wildcard) ou de l'omission d'inclure les sous-domaines pertinents dans le certificat. Par exemple, si un certificat générique pour *.example.com est utilisé sur un sous-domaine non couvert par le caractère générique (tel que sub.example.org), cela déclencherait une incompatibilité et des avertissements de sécurité.

Implications dans le monde réel : Considérez un intranet d'entreprise qui utilise un certificat émis pour un nom de domaine différent. Les employés tentant d'accéder au site seraient confrontés à des avertissements de sécurité dans leurs navigateurs, ce qui pourrait entraver la productivité. Au fil du temps, une exposition répétée à ces avertissements pourrait amener les utilisateurs à devenir insensibles à de telles alertes, augmentant ainsi le risque de futures failles de sécurité.

Recommandation

Pour résoudre les problèmes d'incompatibilité de nom d'hôte :

1. Utilisez les noms de domaine corrects :
2. Assurez-vous que le certificat est émis pour le(s) nom(s) de domaine exact(s) avec le(s)quel(s) il sera utilisé.

3. Incluez à la fois le domaine nu et le sous-domaine www si les deux sont utilisés.

4. Utilisez les noms alternatifs du sujet (SAN) :

5. Utilisez les SAN pour inclure tous les noms de domaine et sous-domaines pertinents dans un seul certificat.

6. Ceci est particulièrement utile pour les services accessibles sous plusieurs noms de domaine.

7. Utilisation appropriée des certificats génériques (Wildcard) :

8. Si vous utilisez des certificats génériques, assurez-vous qu'ils sont utilisés correctement et uniquement pour les sous-domaines appropriés.

9. Soyez conscient des implications en matière de sécurité des certificats génériques et utilisez-les judicieusement.

10. Audits réguliers :

11. Effectuez des audits réguliers de vos certificats SSL/TLS pour vous assurer qu'ils correspondent aux noms d'hôte avec lesquels ils sont utilisés.

12. Ceci est particulièrement important après des changements de domaine ou des migrations de services.

13. Mettez en œuvre une validation de domaine forte :

14. Utilisez des certificats à validation de domaine (DV) ou de niveau supérieur pour assurer une validation appropriée de la propriété du domaine.

15. Mettez à jour les enregistrements DNS :

16. Assurez-vous que les enregistrements DNS sont à jour et pointent correctement vers les serveurs appropriés.

17. Outils de gestion de certificats :

18. Utilisez des outils de gestion de certificats capables de détecter et d'alerter sur les incompatibilités de noms d'hôte.

Liens

• OWASP Transport Layer Protection Cheat Sheet
• Mozilla SSL Configuration Generator

Normes

• SOC2_CONTROLS:
  • CC_6_7
  • CC_7_1
• CCPA:
  • CCPA_1798_150
• GDPR:
  • ART_32
• HIPAA_CONTROLS:
  • SECURITY252
  • SECURITY212
  • SECURITY213
• PCI_STANDARDS:
  • REQ_4_1
  • REQ_6_2