Bonsoir, Le 06/04/2021, OB via frnog<[email protected]> a écrit : > Une question que je me suis toujours posé à ce propos: > > A quoi servent ces restrictions sur les certificats de la part des > navigateurs ? > > Je sais qu'il existe, en entreprise, des dispositifs pour intercepter - > légalement - de l'HTTPS , mais du coup ça va marcher pour tout > certificat (pas juste auto-signés) via notamment l'intégration dans l'OS > (ou celui du navigateur dans le cas de Firefox). > Des anti-virus sur les postes font ça aussi. > > > Alors oui, _techniquement_ un certificat auto-signé pourrais être > remplacé subrepticement par notre FAI, ou par un opérateur tiers. Mais > est-ce que vous avez déjà rencontré ce cas en pratique ? > ... > > Auto-signé ou pas c'est au moins chiffré, ce qui permet d'éviter > l'evedropping passif. > > Il y a un truc que je saisi pas ? > > Julien > >
L'argument "technique" c'est que si c'est un certificat auto-signé, en cas de perte ou de vol de la clé privée associée, il n'y a pas moyen de révoquer le certificat et il est par conséquent complètement "perdu". L'autorité de certification est là comme une assurance pour ce genre de cas et comme garant de la validité du certificat auprès du public. Un parallèle avait été donné (je sais plus la ref exact, peut-être le livre Cyberstructure de Bortzmeyer) avec une carte d'identité, certifiée valide par l'état qui l'émet, pour une durée limitée, renouvelable et révocable. La différence avec les cartes d'identité, c'est que les CA n'étant pas des état mais des entreprises, le reste des arguments est d'ordre purement commercial, en jouant sur la peur inspirée par les messages d'avertissements anxiogènes des navigateurs. Le fond de tout ça c'est la confiance qu'on peut accorder à ce à quoi on se connecte et comme Michel Py l'a bien dit, c'est un marché comme un autre. Cheers Nick Rand --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
