J'adore lire les commentaires des internautes sur le Web pour voir ce que les gens pensent. Ce n'est pas précis mais c'est informatif (j'avais vu la monté de Mélenchon avant que les sondages la confirme).
Des internautes expriment régulièrement l'idée que pour une erreur, une certificat émis qui n'aurait pas dû l'être, "seulement" un pré-certificat signé à tort ... il ne faut pas avoir la "main lourde" (dans l'affaire du faux certificat Google signé par une sous-autorité de l'ANSSI, de nombreux commentateurs avaient trouvé la réaction de Google inutile/hostile/disproportionnée/méchante).
Mais si, il faut.
L'activité de tiers de confiance n'est pas une activité où on peut viser simplement le respect du protocole "la plupart du temps", ou à 99%. Un tiers de confiance ne peut pas avoir de tolérance à l'erreur. Le principe même des certificats est que c'est valide ou non. Le logiciel a confiance ou non. Il n'y a pas d'échelle. Pas de "logique floue". Donc pas de droit à l'erreur.
Les protocoles doivent être respectés que ce soit au niveau des logiciels comme au niveau des humains qui font les vérifications manuelles.
Tout certificat attribué à tort peut conduire :
- au piratage d'identifiants confidentiels
- à l'installation de logiciels hostiles
Un seul faux certificat peut être utilisé contre des millions d'utilisateurs. Et de façon répété. Ce n'est pas analogue à un faux billet ou une mallette de faux billets, qui une fois utilisée est vide. C'est l'analogue d'une machine produisant à l'infini des faux billets, sans recharge en papier ni en encre.
La cryptologie est vraiment solide. Les algorithmes de chiffrement sont robustes. Les failles dans les implèmentations existent malheureusement mais relativement rare (comparer aux autres failles dans des logiciels utilisés habituellement comme les navigateurs, les gestionnaires réseau, d'impression, etc.).
La faiblesse structurelle d'un système cryptographique comme TLS est le système d'autorités de certification, donc on ne peut avoir aucune tolérance à l'incompétence, l'étourderie, l'approximation, le laxisme, le je-m'en-foutisme, les excuses...
La tolérance, il y a des maisons pour ça!