On Tue, 2003-12-09 at 17:30, Pierre Maitre wrote: > Pour l'instant, comme le certificat n'est pas valable, mozilla s'arr�te > l� et refuse de continuer (que faire?), alors qu'avec Internet Explorer, > apparemment, on peut r�pondre que l'on veut continuer (mais j'ignore si > la connection est alors s�curis�e ou non)
Petit rappel sur la crypto :
Il y a deux points importants en crypto : le cryptage et
l'authentification. Dans le cas �voqu�, le cryptage est r�alis� mais
pas l'authentification. Le certificat sert en fait surtout �
l'authentification. Ce qui sert � �tre s�r que le site auquel on se
connecte est bien celui qu'il pr�tend �tre. Sans authentification, il
est possible (bien que relativement difficile) de se faire passer pour
quelqu'un d'autre. Dans le cas pr�sent, cela voudrait dire que vous
pourriez r�cup�rer des donn�es qui ne corespondent pas � la r�alit�. Si
vous devez entrer des donn�es, le risque est plus grand encore :
imaginer un site qui se fasse passer pour Amazon et sur lequel vous
entrez votre no de carte de cr�dit.
Les autorit�s de certification (Verisign, ...) sont sens�e se porter
garantes de l'authenticit� des certificats qu'elles d�livrent. Elles
font malheureusement leur travaille avec un s�rieux qui laisse �
d�sirer.
Par contre, Mozilla (et sauf erreur Internet Explorer aussi) peuvent
stocker les certificats qu'ils recoivent et dans certains cas vous
avertir si ceux-ci changent (ce qui serait signe d'un probable probl�me
de s�curit�).
Malheureusement, pour le moment l'authentification sur Internet pose
de gros probl�mes. Le seul moyen s�r serait que votre administrateur
vous donne (de mani�re s�re) l'empreinte du certificat pour que vous
puissiez la v�rifier. Mais la proc�dure est lourde et peu
d'utilisateurs sont pr�ts � v�rifier une suite de chiffre al�atoires �
chaque connexion sur un site web ...
Guillaume LEDERREY
signature.asc
Description: This is a digitally signed message part
