Bonsoir, Le 09/12/2013 14:56, Xavier Beaudouin écrivit : > Le 08/12/2013 20:33, Jean-Yves Faye a écrit : >> Un nettoyage des magasins de certificats des navigateurs est la >> seule solution à court terme, ça ou alors les éditeurs de >> navigateurs se mettent à implémenter les protocoles déjà proposés >> pour réduire la voilure niveau portes d'entrée dans le système des >> IGC (moins problable) > > La solution a déployer serait plutôt un DANE vraiment intégré dans > les navigateurs, seul bémol, ça dépends de DNSSEC et DNSSEC c'est > bien mais c'est pas "effortless" a intégrer... Hélas :(
Je me dis que les gens qui déploient du SSL Intercept vont pas être tentés de déployer des résolveurs validants sur leur réseau si ça casse leur jouet :-) Et souvent en entreprise, l'on est pas administrateur de la machine, donc va changer le résolveur DNS ou installer un unbound local… -- Cyprien --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
