> > Cacert a l'avantage de pouvoir être ajouté dans un navigateur. Une fois > > que c'est fait on est tranquille. > > De même pour l'auto-signé. Non CaCert je l'ajoute une fois et je suis tranquille. Les auto-signés faut rajouter tous les sites. Et comment lors d'un changement de certificat je sait si il est légitime ou pas ? Imaginons osm.org avec un certificat auto-signé. Un jour je vais sur le site le certificat à changé. Comment je sais si l'ancien à expiré ou si quelqu'un a pris le contrôle du serveur DNS et me redirige vers un aspirateur de mots de passe
> > Sinon c'est quoi l'intérêt de https pour toi ? > > Le flux chiffré + la garantie de revenir sur le même serveur > que la première fois. Auto-signé ou pas faut changer le certificat de temps en temps. Et là paf ! (Ou alors si tu le change jamais t'as une conception bizarre de la sécurité) > Bizarrement j'ai plus confiance dans un certificat que j'ai > signé moi-même que dans un certificat où j'ai simplement > dû payer un tiers pour être dans les navigateurs par défaut. C'est marrant ça. Pour moi un auto-signé est juste un certificat non signé (C'est encrypté mais je sais pas ou ça va). Un certificat signé est la même chose sauf qu'en plus quelqu'un dit "ce certificat il est bien". Si tu fais pas confiance, libre à toi de virer toutes les autorités de certification de ton navigateur, t'aura que des auto-signés. > De même que nous apprenons à détecter les faux billets, les canulars > en courriel, voir le certificat (l'auto-signé comme les autres) et le > vérifier fait partie des bonnes pratiques. C'est bien plus sûr que le > simple "faîtes moi confiance, fermez les yeux, retournez vous et baissez > vous madame michou, ça va bien se passer". Ce que tu préconises. Vu les connaissances informatique moyenne des gens, je pense qu'il vaut mieux pour eu croire la liste dans leur navigateur. PS: Je trouve ça rigolo des conseils en sécurité d'un mec qui utilise les mail de la poste. C'est bien eux qui n'ont toujours pas de imap sécurisé, dont le webmail est en http par default (et qui pendant longtemps n'avaient pas de https du tout), et qui lors de l'ouverture laissaient n'importe qui mettre n'importe quoi comme adresse d'expéditeur ? -- Vincent MEURISSE _______________________________________________ Talk-fr mailing list Talk-fr@openstreetmap.org http://lists.openstreetmap.org/listinfo/talk-fr
