Auteur Sujet: Nouveau certificat https pour https://LaFibre.info  (Lu 6367 fois)

0 Membres et 1 Invité sur ce sujet

corrector

  • Invité
Le "multiposte"
« Réponse #36 le: 26 mars 2015 à 16:58:08 »
1/ Nous embêter (pour rester poli)?
2/ Atteindre au plus vite tes 10 000 messages?
3/ Bien voir ton avatar (que je ne qualifierai pas en public)?
Qu'est-ce qu'il a mon avatar?  :o

corrector

  • Invité
Nouveau certificat https pour https://LaFibre.info
« Réponse #37 le: 26 mars 2015 à 17:23:08 »
Corrector, utilise plutôt l'édition de message plutôt que de faire du multiposts ;)
Je l'utilise, souvent.

Mais pas pour mélanger différents sujets de discussion!

jack

  • Professionnel des télécoms
  • *
  • Messages: 1 615
  • La Madeleine (59)
Nouveau certificat https pour https://LaFibre.info
« Réponse #38 le: 26 mars 2015 à 22:43:07 »
Pour toi, c'est facile de le valider :)
Pour la masse d'anonymes qui voudrait le vérifier, c'est cause perdu (c'est pour cela que la chaine de """"confiance"""" actuelle est utile)

corrector

  • Invité
multiplication des usurpations de certificats
« Réponse #39 le: 26 mars 2015 à 23:48:30 »
https://www.nextinpact.com/news/93564-google-monte-au-creneau-contre-certificat-securite-genere-en-son-nom.htm
https://www.nextinpact.com/news/93514-certificats-quand-comodo-se-fait-berner-par-alias-outlook-com.htm
https://www.nextinpact.com/archive/65907-diginotar-faillite-certificats-ssl-securite.htm (2011 mais en relation indirecte avec le précédent lien)
https://www.nextinpact.com/news/93164-laffaire-superfish-revele-probleme-securite-plus-vaste-avec-certificats.htm
etc
Tu as tellement peu d'exemples de cette soi-disant "multiplication" que tu as été obligé de citer un exemple de 3 ans qui a fait couler la boite responsable! Cet exemple semble justement montrer qu'un CA ne peut pas se permettre absolument n'importe quoi! (En fait je pense qu'on ne peut pas en conclure cela parce qu'il s'agissait qu'une racine très très peu utilisée et on ne peut pas généraliser.)

Et je ne parle même pas de l'exemple d'un adware pré-installé qui n'a rien à voir avec les errements des CA (à moins que tu penses qu'il ne devrait pas être possible de monter un proxy MITM sur sa propre machine pour ses propres besoins!). Mais à ce compte là tu pouvais aussi bien me citer n'importe quel logiciel AV qui fait même chose.

On peut appeler ça comme on veut, mais les certificats ne sont pas infaillibles, comme on voulait nous faire croire.
Voilà, on appelle ça "pas infaillible"!

Et donc on s'occupe sérieusement des dysfonctionnements. Mais j'évite de laisser entendre que le système actuel a une valeur quasi nulle en matière de sécurisation parce que ce n'est pas le cas.

turold

  • Profil non complété
  • ******
  • Messages: 1 689
  • mp fermée (sauf admin et exceptions temporaires)
multiplication des usurpations de certificats
« Réponse #40 le: 27 mars 2015 à 00:08:23 »
Si tu lisais mes liens, le truc de 2011 y est uniquement car c'est un lien qui se trouve dans le 2ème lien... de 2015.
3 exemples me suffisent amplement pour une multiplication.

Edit: mes propos ont été enlevés, mais j'en remet un: à partir de là, je re-ignore tes propos Corrector.
« Modifié: 27 mars 2015 à 11:48:27 par turold »

cali

  • Officiel Ukrainian Resilient Data Network
  • Fédération FDN
  • *
  • Messages: 2 328
    • Ukrainian Resilient Data Network
Validation manuelle
« Réponse #41 le: 27 mars 2015 à 00:53:35 »
Mais comment tu valides un tel certificat?

Tu hijack mozilla.org pour que les victimes installent ta version de firefox par exemple :-)

corrector

  • Invité
multiplication des usurpations de certificats
« Réponse #42 le: 27 mars 2015 à 06:55:03 »
S'il y a un cas avéré en 2011, et deux cas depuis, tu vas parler de multiplication?

Et si il y a une éolienne dans une ville, et que l'année d'après on en trouve deux, tu vas parler d'augmentation de 100%?
« Modifié: 27 mars 2015 à 07:26:49 par corrector »

corrector

  • Invité
multiplication des usurpations de certificats
« Réponse #43 le: 27 mars 2015 à 07:26:32 »
On peut appeler ça comme on veut, mais les certificats ne sont pas infaillibles, comme on voulait nous faire croire.
Je me demande qui t'a raconté que l'informatique pouvait être "infaillibles", ou que les tiers de confiance pouvaient l'être.

Tu dois être le genre de type qui racontent après un accident nucléaire : "quels idiots les scientifiques, ils nous ont dit que l'accident était im-po-ssi-ble". Alors que personne n'a jamais dit ça. Tout ça c'est dans la tête des gens qui s'intoxiquent eux même.

En pratique, ce système permet à la plupart des utilisateurs d'être raisonnablement confiants.

Les accidents d'avions arrivent et font en une seule fois beaucoup de victimes.

Les dysfonctionnement sur des systèmes de certification peuvent arriver et faire des dégâts aussi. Si tu regardes bien, j'ai fait la publicité d'un de ces dysfonctionnement. Je n'ai pas cherché à minimiser l'affaire.

Quelqu'un qui a des ennemis extrêmement puissants doit prendre des mesures de sécurité plus importantes que simplement se reposer sur "https:" et le cadenas dans la barre d'adresse du navigateur.

Est-ce que tu penses sérieusement qu'un adware pré-installé montre une faille dans le système des certificats?

corrector

  • Invité
Le "multiposte"
« Réponse #44 le: 27 mars 2015 à 07:47:57 »
1/ Nous embêter (pour rester poli)?
2/ Atteindre au plus vite tes 10 000 messages?
3/ Bien voir ton avatar (que je ne qualifierai pas en public)?
Comme tu n'es pas assez éveillé pour arriver à comprendre tout seul, je vais t'aider.

Ce topic contient (entre autres)
- une sous-discussion sur les logiciels de sécurité qui font de l'interception TLS
- une sur la (soi-disant) "multiplication des usurpations de certificats"
- une sur les certificats auto-signés et donc invérifiables par un simple navigateur
- une sur l'insertion des images dans les messages
- une sur le soi-disant "multipostage" sur le forum (le multipostage désigne tout autre chose sur Usenet news, c'est la multiplication de messages identiques ou très similaires dans différents groupes)

Ces thèmes ont un lien très faible (voire inexistant) avec le sujet initial.

Selon le développement des discussions sur des sujets précis et distincts du thème initial, il peut être préférable de scinder le topic. C'est une décision basée sur la quantité de messages qui s'éloignent, le fait que le thème soit clairement distinct, le fait que la lisibilité du topic puisse être améliorée en séparant les thèmes. Il est inutile de créer un topic pour deux messages isolés; par contre si un topic est remplis d'une discussion sans lien, il devient moins lisible. Donc cela s'apprécie en cours de route et il est difficile d'anticiper la popularité d'un HS. Une division mécanique du topic au moindre début de HS n'est pas utile.

Pour un modérateur, il est appréciable que les forumeurs aient un comportement que tu qualifies de "multipostage" comme moi. Je le sais, j'ai été modérateur!

corrector

  • Invité
Nouveau certificat https pour https://LaFibre.info
« Réponse #45 le: 28 mars 2015 à 21:33:25 »
Je ne trouve pas ce certificat 064969b7f4d6a74fd098be59d379fae429a906fb
En effet, Opera voit bien le certificat 06 49 69 B7 F4 D6 A7 4F D0 98 BE 59 D3 79 FA E4 29 A9 06 FB (sérial 0x1C AB 36 47 2D 9C 51 expire 14/10/2022 21:57:00 GMT).

corrector

  • Invité
Nouveau certificat https pour https://LaFibre.info
« Réponse #46 le: 29 mars 2015 à 06:26:29 »
Nouveau certificat https pour https://LaFibre.info

J'ai mis en place un nouveau certificat TLS pour https://LaFibre.info
Il est valable 2 ans et supporte les sous-domaines (*.lafibre.info)
Un petit rappel en passant : ce certificat est valide pour

Citer
Nom DNS=*.lafibre.info
Nom DNS=lafibre.info
Nom DNS=testdebit.info
Nom DNS=*.testdebit.info
La présence explicite de "lafibre.info" dans les "alternative names" est nécessaire, en effet lafibre.info n'est pas un sous domaine et donc pas inclus dans *.lafibre.info.

Par ailleurs, si pour tout nom x le domaine x.lafibre.info est inclus, ce n'est pas valable pour y.x.lafibre.info


corrector

  • Invité
Superfish : maliciel pré-installé
« Réponse #47 le: 29 mars 2015 à 06:53:05 »
https://www.nextinpact.com/news/93164-laffaire-superfish-revele-probleme-securite-plus-vaste-avec-certificats.htm
etc

On peut appeler ça comme on veut,
On peut appeler ça un maliciel pré-installé, parce que c'est ce dont il est question. Intercepter des communications chiffrées, les déchiffrer, les re-chiffrer, générer des certificats bidons... sans la permission explicite et le consentement informé de l'utilisateur c'est parfaitement inacceptable.

mais les certificats ne sont pas infaillibles,
Cela ne démontre en rien que "les certificats ne sont pas infaillibles". Cela rappelle en revanche que nous faisons en général confiance par défaut à un certains nombres d'intermédiaires.

Cela démontre que certains constructeurs ne reculent devant rien et ne sont pas dignes de confiance. Les mots me manquent pour exprimer mon dégoût et ma consternation quand j'ai appris ça.

les certificats ne sont pas infaillibles, comme on voulait nous faire croire.
Si tu crois que les certificats sont conçus pour protéger contre une attaque du constructeur de la machine, c'est que tu ne comprends rien à rien.

L'attaquant est censé être en dehors de ton ordinateur.

La cryptographie n'est pas faire pour protéger contre des maliciels pré-installés. Cela n'a rien à voir.