Le SSL = sécurité , mais certification = arnaque....
Il faut bien comprendre que le SSL est nécessaire, mais que la certification est une PURE ARNAQUE, car elle est "vendue et obtenue" pour 100€ /an.
Le certificat doit assurer que le site auquel on est connecté est le bon : quand on se connecte, le serveur envoie une chaine de certificats allant d'une autorité connue à la clé publique du serveur, et le client est censé avoir confiance que la clé est la bonne.
Quand on veut aller un site précis, auquel on va confier des informations (lafibre ou Google), on veut être sûr qu'on est bien sur ce site et pas un faux.
En caricaturant un peu, en pratique, il y a deux types d'accès Internet :
- l'accès qu'on paye et qu'on installe
- l'accès que quelqu'un d'autre paye et installe
Sur son accès, on se dit qu'il serait plutôt difficile à un espion de détourner longtemps et sans se faire remarquer les connexions, donc on peut avoir relativement confiance. Alors que sur un point d'accès Wifi, ou dans une entreprise, dans un lycée... celui qui contrôle l'accès peut faire ce qu'il veut; et qui va le contrôler?
Le principe de ssh est de demander à la première connexion si l'utilisateur approuve une nouvelle clef. En pratique, la plupart des gens approuvent sans vérifier. Mais après, la clé doit être la même à chaque connexion, sinon ssh gueule.
Dans un scénario d'attaque pratique, détourner les connexions de quelqu'un à un serveur tout le temps sur une clé est nettement moins évident que de le faire une seule fois. Si la personne se déplace avec son client ssh entre plusieurs accès, la seule façon de le tromper efficacement est de se placer près du serveur ssh, et donc il faut tromper tout le monde, et ça se voit.
Dans cette optique, le fonctionnement de ssh est plutôt sûr, même s'il est loin d'être idéal.