La Fibre

Télécom => Réseau => Protocoles réseaux sécurisés (https) => Discussion démarrée par: le 29 avril 2011 à 23:24:09

Titre: Quiz : y a t-il un risque à accepter un certificat invérifiable?
Posté par: le 29 avril 2011 à 23:24:09: Vous surfez sur la toile, le vrai surf c'est à dire allant d'un site que vous ne connaissez à un autre, le tout sans attribuer un poids particulier aux noms de domaines (il fut un temps, la plupart des noms de domaine ne ressemblaient à rien!).

Alors que vous surfez, vous arrivez sur un site https://foo.bar.baz/ qui ne s'affiche pas parce que la vérification de son certificat échoue (expiré, signature inconnue, auto-signé...).

Vous ne connaissez pas plus ce nom de domaine que tous ceux sur lesquels vous surfiez ... mais celui-ci est en https et donc il faut accepter le certificat, juste pour avoir la possibilité de consulter le site.

Que faites-vous, et surtout, pourquoi?
Titre: Quiz : y a t-il un risque à accepter un certificat invérifiable?
Posté par: vivien le 30 avril 2011 à 12:55:52: Aujourd'hui quand on consulte un petit site web qui propose du https il faut systématiquement signer sa clef.

Il faut juste se rappeler que la sécurité sur le fait que c'est bien le bon site web est la même que sur un site web standard (protocole http et non https), donc pas de quoi s'alarmer (ou sinon on ne surf plus du tout)

Par contre je ne rentrerais pas ma CB sur un site de ce genre.
Titre: Quiz : y a t-il un risque à accepter un certificat invérifiable?
Posté par: le 30 avril 2011 à 14:18:48: Citation de: vivien le 30 avril 2011 à 12:55:52
Aujourd'hui quand on consulte un petit site web qui propose du https il faut systématiquement signer sa clef.
Tu veux dire l'ajouter au magasin de certificats du navigateur (ou du système)?

C'est justement ce que je critique.
Titre: Quiz : y a t-il un risque à accepter un certificat invérifiable?
Posté par: vivien le 30 avril 2011 à 16:23:26: Je ne sais pas si quand je "accepter" sur l'avertissement Firefox (qui est bien fait au passage), cela l'ajoute au magasin.
Titre: Interface rébarbative de Firefox pour autoriser une clef SSL non vérifiée
Posté par: le 30 avril 2011 à 19:25:19: Citation de: vivien le 30 avril 2011 à 16:23:26
Je ne sais pas si quand je "accepter" sur l'avertissement Firefox (qui est bien fait au passage), cela l'ajoute au magasin.
Bien fait? Je trouve ça hyper pénible, un véritable repoussoir.

C'est d'ailleurs conçu pour être un véritable repoussoir, afin que les gens ne le fassent pas!!! (https://lafibre.info/images/smileys/Colere_25.gif)

Tu parles d'un logiciel "libérateur", qui prétend dicter le comportement de l'utilisateur.
Titre: Quiz : y a t-il un risque à accepter un certificat invérifiable?
Posté par: vivien le 30 avril 2011 à 21:49:29: tu es pour auto-accepter les certificats ?
Je ne comprends pas tout...
Je pensait ta position inverse (refuser)
Titre: Quiz : y a t-il un risque à accepter un certificat invérifiable?
Posté par: le 01 mai 2011 à 05:23:55: Surtout pas, je suis pour avertir l'utilisateur, demander sa confirmation, et s'il accepte aller sur le site sans accepter la clé globalement.