Re-,
Le 07/04/2021 à 10:28, OB via frnog a écrit :
> Autant sur des systèmes qui ne sont accessible que sur le LAN , tel que
> les bornes wifi, les imprimantes, ... bref des services qui pourraient
> tout aussi bien tourner en HTTP finalement, je trouve ça overkill. Je
> vais pas monter un CA pour 3 bornes wifi , une imprimante et la caméra
> d'une TPE derrière une livebox !
Alors perso, je n'ai rien contre le HTTP-pas-S. J'en fais tous les jours
et je m'en porte bien ;). Le risque d'accepter trop facilement les
certificats autosignés, c'est que ça a un côté canada dry : on a
l'impression de faire du HTTPS, alors qu'en fait on a pas du tout le
niveau de sécurité attendu. Et oui, 99,9% du temps, on parle bien avec
le bon serveur, mais ce sont les 99,9% du temps où on avait en fait pas
besoin de HTTPS. Le problème, c'est le 0,1% du temps où HTTPS aurait
servi et où, du coup, on se fait avoir.
Il faut, à mon sens, voir un auto-signé comme plus proche du HTTP que du
HTTPS. Et c'est dans ce sens que va l'évolution des browsers depuis
quelques années, s'assurer que le HTTPS est bien du "vrai" HTTPS. Et
sinon, on peut encore faire du HTTP, mais la non-sécurisation est
explicite au moins.
> Le "trust on first use" de Firefox dont parles Vincent, utilisé depuis
> des année en SSH me parait être un bon compromis.
Je crois que SSH a intégré le modèle CA récemment, aussi ;). Le TOFU,
c'est cool, mais c'est un peu comme les exceptions de sécurité je trouve
: quand ça ne marche pas, l'utilisateur supprime l'ancienne clé ("le
serveur a du être réinstallé, tout va bien"), et hop, perdu. Comme d'hab
en sécu : quand on sait ce qu'on fait et pourquoi, on se méfiera à ce
moment, mais globalement les logiciels doivent d'abord faire l'hypothèse
que l'utilisateur n'est pas un fin connaisseur de la sécu, et donc avoir
des réglages sûrs de base.
Pour autant, je ne suis pas du tout un défenseur du modèle CA, il est
fondamentalement mauvais, et oui, vivement DANE partout ;).
Bonne journée !
François
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
