❦ 7 avril 2021 08:55 +02, Francois Lesueur:
>> Auto-signé ou pas c'est au moins chiffré, ce qui permet d'éviter
>> l'evedropping passif.
>
> Le but du modèle HTTPS/CA, c'est de chiffrer *avec la bonne personne*.
> L'auto-signé évite certes l'attaque purement passive, mais le but du
> protocole et de son déploiement, c'est de t'assurer que tu échanges bien
> de manière sécurisée avec le bon interlocuteur. Avec l'auto-signé, tu
> chiffres, mais tu n'as aucun moyen de savoir si tu chiffres entre toi et
> l'attaquant (en MitM, qui re-chiffre ensuite pour ta destination mais
> voit le contenu donc) ou entre toi et ta destination (crypto
> bout-en-bout).
L'auto-signé fonctionne désormais en mode "trust on first use", comme
SSH. Cela apporte donc une authentification partielle. Dans Firefox, le
hash du certificat est stocké dans "cert_override.txt" dans le profil de
l'utilisateur.
--
A horse! A horse! My kingdom for a horse!
-- Wm. Shakespeare, "Richard III"
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
