Bonjour,
Le 08/12/2013 20:33, Jean-Yves Faye a écrit :
Bonsoir,
NetASQ a cette fonctionnalité, et de plus est un produit bien Français.
Purement techniquement parlant, cette technique peut être pratique pour
garder l'aspect SSL des communications, tout en soumettant à l'analyse
antivirus/IDS les flux entrants, chose courante avec les appliances
type
NetASQ justement.
Comme déjà dit, le danger vient plutôt de le faire avec une AC
certifiée et
publique (par transitivité). Normalement on fait ça avec une AC interne
et
les certificats spécifiques sont déployés sur les postes.
Après cela remet encore une fois sur le tapis la question de la liste à
rallonge des autorités "de confiance" qui peuvent donner des
certificats
pour n'importe quoi, qui ne veut plus dire grand chose. Dans ce cas
précis,
une fonctionnalité de type restriction à *.gouv.fr sur l'IGC de
l'administration aurait été pertinente.
Un nettoyage des magasins de certificats des navigateurs est la seule
solution à court terme, ça ou alors les éditeurs de navigateurs se
mettent
à implémenter les protocoles déjà proposés pour réduire la voilure
niveau
portes d'entrée dans le système des IGC (moins problable)
La solution a déployer serait plutôt un DANE vraiment intégré dans les
navigateurs, seul bémol, ça dépends de DNSSEC et DNSSEC c'est bien mais
c'est pas "effortless" a intégrer... Hélas :(
Xavier
--
Xavier Beaudouin
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
