Le 20/04/2015 10:21, J. Fernando Lagrange a écrit :
Il y a des mesures supplémentaires/différentes de vérification, comme
> DANE, mais il me semble qu'il n'est pas actuellement implémenté dans
> les navigateurs (il faut un module complémentaire pour Firefox, par
> exemple).
Sur ce point, le serveur *mail* Postfix est assez bien positionné
question sécurité : il implémente TLS et DANE, voire même la
vérification d’un fingerprint spécifique (*).
Il existe même un service web où il est possible de vérifier qu’un
serveur mail STMP supporte bien TLS+DANE :
https://dane.sys4.de/
(*) je m’étais amusé à enregistrer sur mon serveur mail le fingerprint
de la clé publique de Gmail (SMTP), et ai été stupéfait de constater que
celui-ci avait changé début mars 2015 pour leur certificat qui expirait
début avril — d’habitude il est plutôt conseillé, je crois, de garder la
même clé lorsqu’on renouvelle le certificat, enfin bon. Ça m’a donné
l’occasion de voir en live que la vérification par fingerprint était
efficace.
PS : merci du lien Transparency de Gmail, et content de voir qu’il y a
autant de mails chiffrés dans leur transport de/vers Gmail : même si TLS
+ l’infrastructure des CA est perfectible, c’est largement mieux que rien.
PPS : puisque c’est la première fois que je poste ici, présentation
rapide : hacker-bidouilleur, Wikipédien, sous GNU/Linux bien-sûr (Mint
LMDE), sysadmin amateur-autodidacte depuis 7 ans,
entrepreneur-consultant depuis peu.
Sébastien / Seb35
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/
