Practical example of obtaining a false digital #certificate with a #BGP hijacking (several CAs tested). Nothing new or extraordinary, just a practical demonstration in the wild of a well-known attack.
▻https://www.princeton.edu/~pmittal/publications/bgp-tls-hotpets17
Among the possible workarounds: the CA should test from several vantage points.
The bug report at #LetsEncrypt: ▻https://community.letsencrypt.org/t/using-bgp-to-acquire-bogus-tls-certificates/38627
#X509
RFC 7469 : Public Key Pinning Extension for HTTP
Depuis que les piratages de Comodo et DigiNotar ont fait prendre conscience du peu de sécurité qu’apportent les certificats #X509, plusieurs solutions ont été proposées pour combler les failles des autorités de certification. La proposition de ce #RFC consiste à permettre à un client d’épingler (to pin) les clés cryptographiques d’un serveur HTTP utilisant #TLS, c’est-à-dire à s’en souvenir pendant une durée spécifiée par le serveur. Ainsi, même si un faux certificat est émis par une AC, il ne sera pas accepté.
