2011/1/27 François Tigeot <[email protected]>: > Radu-Adrian Feurdean wrote: >> >> On Thu, 27 Jan 2011 11:38 +0100, "Rémi Bouhl"<[email protected]> >> wrote: >> >>> Ça fonctionne comment, ce genre d'horreurs? >>> >>> En cassant le bout-en-bout SSL pour intercepter avec un vrai/faux >>> certificat reconnu par le navigateur? >> >> Exactement. Avec une chaine de certification qui a les bases dans l'AD >> et qui est pousse automatiquement sur les postes. >> >> Probleme: de qu'on sort du chemin pre-determine par les droids marketing >> du constructeur (par exemple en utilisant un autre navigateur) ca >> commence a poser des problemes, avec des security warnings que les >> utilisateurs commencent a prendre pour "standard"/normal et autres chose >> de ce genre..... > > Je verrais bien aussi des patchs pour les navigateurs qui refuseraient les > certificats émis par autre chose que le site final. > > Tout le système de chaine de certificats actuel me fait penser à un cirque > qui ne sécurise rien du tout mais donne juste assez d'illusion pour que des > gens y croient. >
Ben ça a toujours été clair... c'est basé sur un réseau de confiance... L'exemple des chinois qui ont détournés le trafic internet est le même... Ils sont aussi root CA dans les navigateurs. Donc ont la liberté de "man-in-the-middler" (plus belle expression de ce thread je pense ;) ) n'importe quel trafic grand public. Comment veux-tu faire pour qu'un navigateur n'accepte que le cert d'un site particulier ? soit il est autosigné, soit il faut que tous les navigateurs disposent de tous les certificats de tous les sites web... pas gagné.. > La méthode utilisée par le client ssh me parait bien: à la première > connection, on enregistre l'empreinte du serveur, et ce n'est que si elle > change par la suite que le programme se met à émettre des erreurs. Principe du certificat autosigné. Si le user coche "ne plus m'avertir pour ce site", ce sera transparent. > > Je n'aimerais pas que la connection à l'extranet de gestion de ma boite soit > détournée parce que le navigateur d'un commercial itinérant accepte un > certificat du gouvernement chinois en lieu et place du vrai... T'as pas le choix :) sauf de monter un vpn avec des certificats que tu as toi même généré, ou d'avoir un cert autosigné, ce qui est faisable étant donné que c'est le PC de la boite... donc le cert peut être présent à la génération. > > -- > Francois Tigeot > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > > -- Steven Le Roux Jabber-ID : [email protected] 0x39494CCB <[email protected]> 2FF7 226B 552E 4709 03F0 6281 72D7 A010 3949 4CCB --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
