On Mon, Apr 20, 2015, at 10:21, J. Fernando Lagrange wrote: > Mais: > 1- N'importe quelle « autorité de certification » peut créer un > certificat pour n'importe quel domaine et sous-domaines « sécurisé », > c'est-à-dire utilisant HTTPS. [1] > > 2- Il existe au moins une autorité de certification française. [2] > > L'utilisateur est alors incapable de savoir que son navigateur a accepté > un certificat de la mauvaise autorité. Tout est sécurisé, mais au milieu > tout est déchiffré (pour les journaux de la boîte noire ?) puis rechiffré > (pour google). > > Il y a des mesures supplémentaires/différentes de vérification, comme > DANE, mais il me semble qu'il n'est pas actuellement implémenté dans les > navigateurs (il faut un module complémentaire pour Firefox, par exemple).
Le "SSL pinning" par contre il l'est. Il y a deja eu une histoire avec ANSSI+direction generale du Tresor a ce sujet (avec non-reconaissance de la CA en question dans Chrome & co). Ok, ca necessite une verification de la part de l'utilisateur au moins une fois, mais c'est mieux que rien. _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
