Si le MITM est possible, ça ne sert à rien de l'interdire!

Sauf que la tendance est à la sauvegarde des caractéristiques des sites justement pour éviter cela.

Comme pour le STS, la première fois que tu te connecte à un site en HTTPS, tu stocke les ciphers autorisés(et la chaine de certification au passage).
Aux visites suivantes, tu compares ce que tu as maintenant à ce que tu as eu dans le passé.
Si cela ne matche pas, tu soulève une alerte.

Bon, suppose que tu es un bot :
- qui visite systématiquement les sites et n'a rien à cacher
- qui n'a pas de magasin de certificats racines ni aucune autre ancre de sécurité
qui n'a donc ni les moyens ni le besoin d'authentifier les serveurs auxquels il se connecte.

Dans ce cas, tu ne voudrais pas utiliser une méthode D-H anonyme (sans clé serveur)?

Non, parce qu'en bon bot qui se respecte, je ne broute les sites en https que si j'y suis contraint.
Pas le cas chez SFR, donc aucun intérêt.

Accessoirement, il me semble bien que les bots de Google font de la vérification de certificats ...

Et avec :

SSLCipherSuite RC4+RSA:!ADH:!aNULL:!SSLv2

SSLCipherSuite RC4-SHA:AES128-SHA:HIGH:MEDIUM:!aNULL:!MD5

Comme ça, les clients voulant du plus costaud peuvent choisir.

NON!

Il ne faut pas que le client puisse choisir autre chose que RC4.

SSLCipherSuite RC4-SHA:HIGH:!aNULL:!MD5

Bravo!

Reste à passer le site en HTTPS!

Petit up la signature du domaine lafibre.info (info. est signé).


OVH : Service DNSSEC

Disponible sur :

- .eu, .com, .net, .pl [NOUVEAU]

- les extensions Afnic : .fr, .re, .yt, .tf, .wf et .pm

Pas de chance!