On Tue, Dec 09, 2003 at 08:07:02PM +0100, Guillaume Lederrey wrote: > est possible (bien que relativement difficile) de se faire passer pour
Pas forc�ment, en particulier avec une attaque DNS. Ou une attaque humaine (p.ex. taper pasport.com au lieu de passport.com, et dans ce cas, le certificat serait peut-�tre m�me valide mais non attribu� � Microsoft). > Les autorit�s de certification (Verisign, ...) sont sens�e se porter > garantes de l'authenticit� des certificats qu'elles d�livrent. Elles > font malheureusement leur travaille avec un s�rieux qui laisse � > d�sirer. Pour diverses raisons, la seule fa�on v�ritable d'assurer l'authenticit� du certificat est de v�rifier son empreinte (fingerprint) au travers d'un canal s�r. > Par contre, Mozilla (et sauf erreur Internet Explorer aussi) peuvent > stocker les certificats qu'ils recoivent et dans certains cas vous > avertir si ceux-ci changent (ce qui serait signe d'un probable probl�me > de s�curit�). Ou de la mise � jour de celui-ci ... suite � sa r�vocation ou l'expiration de la cl�. > de gros probl�mes. Le seul moyen s�r serait que votre administrateur > vous donne (de mani�re s�re) l'empreinte du certificat pour que vous > puissiez la v�rifier. Mais la proc�dure est lourde et peu Pour commenter, je dirais que p.ex. Yellownet ne sait pas ce qu'est une empreinte (si vous t�l�phonez au support), et ne la communique apparemment pas par courrier. _______________________________________________ gull mailing list [EMAIL PROTECTED] http://lists.alphanet.ch/mailman/listinfo/gull
