reBonjour, Le 07/04/2021 à 08:55, Francois Lesueur a écrit :
Le but du modèle HTTPS/CA, c'est de chiffrer *avec la bonne personne*.
> [...]
C'est un peu comme le déploiement de DNSSEC ou RPKI, tant que ce n'est pas contraint côté client, ça ne protège pas vraiment des attaques tel qu'attendu...
Alors justement , autant je suis d'accord avec tout ça dans le cas de services disponible directement sur Internet, quitte à "juste" utiliser Let's Encrypt.
Autant sur des systèmes qui ne sont accessible que sur le LAN , tel que les bornes wifi, les imprimantes, ... bref des services qui pourraient tout aussi bien tourner en HTTP finalement, je trouve ça overkill. Je vais pas monter un CA pour 3 bornes wifi , une imprimante et la caméra d'une TPE derrière une livebox !
Le "trust on first use" de Firefox dont parles Vincent, utilisé depuis des année en SSH me parait être un bon compromis.
Le fait que chrome ne permettre plus d'outrepasser ce genre de sécurité est à mon sens une décision plus stratégique que technique - à la limite tant mieux pour Firefox, mais bon j'ai déjà des clients qui ont dû changer de navigateurs pour cette raison - et c'est une perte de temps pour eux.
En tous cas merci pour vos réponses. Julien --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
