Bonsoir Daniel,<br><br><div class="gmail_quote">2011/12/8 Daniel Kahn Gillmor <span dir="ltr"><<a href="mailto:dkg@fifthhorseman.net">dkg@fifthhorseman.net</a>></span><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
<div class="HOEnZb"><div class="h5">On 12/08/2011 02:01 PM, Erwann Abalea wrote:<br>
> Le 8 déc. 2011 19:52, "Daniel Kahn Gillmor" <<a href="mailto:dkg@fifthhorseman.net">dkg@fifthhorseman.net</a>> a<br>
> écrit :<br>
><br>
> Other (major) organizations<br>
>> rely on a CA chain where the ultimate root uses a 1024-bit RSA key<br>
>> issued 12 years ago and is preposterously claimed to be valid until<br>
>> 2030. Should i simply refuse to visit the web sites who've made the<br>
>> decision to use these CAs?<br>
><br>
> Where did you see that? There's no root shorter than 2048bits in the<br>
> Mozilla trust store.<br>
<br>
</div></div>gah, i'm screwing up today, the 1024-bit key expires in 2019, not 2030,<br>
so it's only valid for 9 years after NIST strongly deprecated it, not 20<br>
years.<br>
<br>
The certificate chain for <a href="https://facebook.com/" target="_blank">https://facebook.com/</a> points to a final issuer of:<br>
<br>
C=US,O=Entrust.net,OU=<a href="http://www.entrust.net/CPS" target="_blank">www.entrust.net/CPS</a> incorp. by ref. (limits<br>
liab.),OU=(c) 1999 Entrust.net Limited,CN=Entrust.net Secure Server<br>
Certification Authority<br></blockquote><div><br></div><div>Strange. Asking with OpenSSL shows a path up to VeriSign (a 2048 bits key). Using Firefox or Safari shows a path up to DigiCert (a 2048 bits key). I'm in France.</div>
<div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
Which is indeed a 1024-bit RSA key with a validity range from May 1999<br>
to May 2019 (attached, with serial number 927650371 (0x374ad243)).<br>
<br>
You can use it to validate the connection to facebook if you're into<br>
that sort of thing:<br>
<br>
gnutls-cli --x509cafile Entrust.net_Secure_Server_CA.crt <a href="http://facebook.com" target="_blank">facebook.com</a><br>
<br>
The CRL embedded in this certificate<br>
(<a href="http://www.entrust.net/CRL/net1.crl" target="_blank">http://www.entrust.net/CRL/net1.crl</a>) was issued today, and it doesn't<br>
appear to have revoked itself, so it looks like Entrust is still<br>
claiming it's still good for use.<br><br></blockquote><div><br></div><div>A root can't revoke itself. Trust has to come off-band, and is removed off-band.</div><div> </div></div>-- <br>Erwann.<br>