> Artur a écrit : > Ce qui semblait une "bonne" idée au départ est au final une erreur. En > occurrence la solution était uniquement censée rendre les > choses plus faciles pour le "grand public", mais comme on est pas chez les > bisounours il va falloir procéder différemment.
L'idée en elle-même n'est nouvelle; on a eu a moins un cas de fournisseur d'Internet dans les avions qui a fait çà, dans le but (soi-disant) d'économiser la bande passante. http://www.neowin.net/news/gogo-inflight-internet-is-intentionally-issuing-fake-ssl-certificates > Jonathan Leroy a écrit : > J'abonde avec cette petite infographie, qui explique quand intercepter ou pas > le trafic HTTPS : > https://twitter.com/__apf__/status/719577428058890240 Justement, c'est Adrienne Porter Felt qui a initialement soulevé le problème. > Edouard Chamillard a écrit : > "on doit jamais MITM une session ssl (web ou non)" c'est un beau principe > mais ça va être dur a vendre aux entreprises. que les ISPs > aient pas a toucher aux paquets qu'on les paye a transbahuter c'est une > chose, mais si j'essaye de dire aux clients "oui mais non, > ça c'est dans du ssl, donc même si c'est un c&c zeus sur un site compromis on > peut pas le savoir et/ou pas y toucher", ça va mal passer. +1 > le matos de la boite c'est le matos de la boite, et en dehors de quelques > communications protégées (contactez votre juriste le plus > proche pour une réponse faisant autorité) personne ne peut s'attendre a la > confidentialité des échanges avec des serveurs distants. Ici c'est vrai. > apres vu le prix du DPI au pps, j'ai tendance a encourager a ne l'utiliser > qu'en dernier ressort et/ou sur des périmètres > sensibles. dans l'immense majorité des cas, les métadonnées sont largement > suffisante pour prendre une décision. Pour combien de temps ? les fabricants de merdiciels ne s'endorment pas, le vecteur d'attaque est de plus en plus camouflé; en étant l'avocat du diable, les solutions entreprise qui font du MITM de SSL sont inévitables à moyen terme. Il va falloir s'attendre à voir des installations automatisées de CA dans le but précis de rendre le MITM moins visible. Michel. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/