>> Y a-t-il un risque que quelqu'un parvienne à avoir un certificat SSL
>> reconnu par les navigateurs et puisse faire du phising en toute
>> impunité?
>
> Autant que je sache, Le cout du certificat rend la campagne de phishing trop 
> chère et donc pas rentable. Les escrocs eux-aussi ont de faibles marges sur 
> le net :p
>

Le certificat SSL reconnu par une autorité de confiance (nécessaire
pour ne pas avoir d'alertes dans les navigateurs) nécessite une
validation de la propriété du nom de domaine sur lequel il porte.
C'est donc ça qui empêche le phishing en HTTPS. Il y a quelques
failles permettant de générer des certificats reconnus comme valides
par les navigateurs (NULL Character et MD5 collisions) mais elles ont
été rapidement patchées.

Si Mme Michu vérifiait que son site d'e-commerce est bien en HTTPS, il
n'y aurait pas autant de phishing.

PS: Un certificat SSL basique c'est très abordable de nos jours.

Matthieu
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/

Répondre à