La Fibre
Fonctionnement du forum => A lire avant de commencer... => 
Évolution de LaFibre.info, bugs et critiques => Discussion démarrée par: vivien le 25 mars 2015 à 23:06:05
-
Nouveau certificat https pour https://LaFibre.info
J'ai mis en place un nouveau certificat TLS pour https://LaFibre.info
Il est valable 2 ans et supporte les sous-domaines (*.lafibre.info)
Le but est de mettre en place rapidement la cartographie des faisceaux hertziens (https://lafibre.info/4g/cartographie-des-faisceaux-hertziens/) de buchanan sur https://carte-fh.lafibre.info (pas la peine de cliquer, ce n'est pas en place)
Petite nouveauté : c'est un certificat de "Class 2" qui signifie que ce n'est pas seulement l'adresse e-mail qui est certifiée mais aussi mon nom, via une vérification de ma carte d’identité, de mon passeport, de ma facture téléphonique et d'un appel pour me demander ma date de naissance et vérifier que tout coïncide.
Pour le reste on reste sur une note A+ avec HTTP Strict Transport Security d'activé.
(https://lafibre.info/images/stats/201503_sslabs_lafibre.png)
-
Je ne trouve pas ce certificat 064969b7f4d6a74fd098be59d379fae429a906fb
Google Chrome me dit que les paramètres de sécurité sont "obsolètes"...
J'y comprends rien, ça m'énerve...
-
ca coute combien un certificat avec les sous domaine ?
-
Tu veux dire avec joker?
Ce n'est pas le joker qui est payant ici, c'est le niveau 2 avec identification de la personne.
Le joker en fait n'identifie rien de plus : si tu es propriétaire d'un domaine, tu es propriétaire des sous domaines aussi!
-
C'est ça : J'ai payé 59,90 $ US pour faire certifier mes informations personnelles (certificat de "Class 2") et ensuite je peux avoir autant de certificat que je le souhaites avec les caractères d'ambiguité (*.nom de domaine) si je le souhaite.
J'ai fait cette certification pour testdebit.info pour pouvoir proposer des téléchargements en https et j'en profite pour lafibre.info vu que cela ne coûte rien de plus.
Je pensais qu'on était limité à un certificat actif donc j'ai mis *.lafibre.info et *.testdebit.info mais le précédent certificat *.testdebit.info reste valable en fait.
-
Google Chrome me dit que les paramètres de sécurité sont "obsolètes"...
Je n'arrive pas a reproduire le problème.
Tu fais comment ?
-
Un joker coute plus cher qu'un "normal" (https://www.namecheap.com/security/ssl-certificates/domain-validation.aspx par exemple, différence entre les "blabla" et les "blabla wildcard")
-
le joker est tres interessant , quelle est la difference avec ce certificat ? (a part le prix !!!)
edit : image enlevee
-
Je n'arrive pas a reproduire le problème.
Tu fais comment ?
Moi, j'ai un problème équivalent:
(https://alexou.fr.cr/email/files/TlsLaFibreInfo.png)
Mais je pense que c'est Iron qui ne gère pas grand chose en certificats, car c'est pareil pour les sites de Google.
Sans Bitdefender, je fais des exceptions permanentes.
En même temps, quand je vois la multiplication des usurpations de certificats, je n'ai aucune confiance dans les https.
Ah, et la 2ème partie de mon image n'est pas toujours avec icône verte, quand il y a des éléments extérieurs non sécurisés (par exemple en répondant).
-
le joker est tres interessant , quelle est la difference avec ce certificat ? (a part le prix !!!)
Le wildcard permet de sécuriser des sous-domaines, c'est tout. Je t'invite à regarder Tutoriel pour chiffrer un site web gratuitement en 14 étapes simples (https://lafibre.info/cryptographie/tuto-https/) si tu es intéressé par un certificat. StartSSL est le seul, reconnu par tous les navigateurs a être gratuit. Le wildcard demande par contre d'avoir vérifié tes papier d'identité (59$)
Ah, et la 2ème partie de mon image n'est pas toujours avec icône verte, quand il y a des éléments extérieurs non sécurisés (par exemple en répondant).
L’élèment extérieur non sécurisé, c'est l'image que tivoli a rajouté à son post (il faut de préférence utiliser le stockage des images et document sur le forum directement , en cliquant sur Fichiers joints et autres options… quand tu rédiges le post.
Je ne vois rien dans ta copie d'écran qui dit que les paramètres de sécurité sont "obsolètes", par contre j'ai l’impression que tu as un outil qui sniffe tes connexions https : Bitdefender.
Je trouve ce système très limite et tu augmentes les risques de faille de sécurité en laissant un logiciel tiers avoir accès à toutes tes données confidentielles. Quand tu donne ton numéro de carte bleu, Bitdefender le voit passer en clair visiblement. Ok il peut t’alerter contre des virus sur les pages que tu visites mais en contrepartie il ne t’alertera pas si le certificat est révoqué et en cas de bug, Bitdefender peut laisser passer des infos confidentielles sur Internet...
Sinon il est normal d'avoir le message "mais il ne possède pas de certificat de clé publique" :
(https://lafibre.info/testdebit/ubuntu/201503_chromium_google_ssl.png)
-
Moi j'ai çà sur cette page avec chrome : https://lafibre.info/evolution/certificat-tls/msg213992/?topicseen#new
(http://img15.hostingpics.net/thumbs/mini_647677Sanstitre.png) (https://www.hostingpics.net/viewer.php?id=647677Sanstitre.png)
-
Et sans BitDefender, j'ai la même !
Edit : Après une rapide recherche, il semblerait que ce soit lié à SHA1 qui est utilisé pour l'empreinte plutôt que SHA2 et Chrome n'a pas l'air d'aimer. M'en demandez pas plus, j'y connais rien je ne fais que répéter ce que j'a lu ailleurs ;)
https://productforums.google.com/forum/#!topic/chrome-fr/C_-QiLpeBFA (https://productforums.google.com/forum/#!topic/chrome-fr/C_-QiLpeBFA)
-
Hum, j'avais déjà eu cette erreur.
Perso j'utilise les certifs Gandi par esprit patriotique. Et il fallait que je fasse de la concaténation de mon certificat et de celui de Gandi aussi, car le navigateur ne reconnaissait pas Gandi, du coup le mien non plus.
Depuis, tout roule !
-
Je ne vois rien dans ta copie d'écran qui dit que les paramètres de sécurité sont "obsolètes", par contre j'ai l’impression que tu as un outil qui sniffe tes connexions https : Bitdefender.
C'est ça. Avec Avast! c'est aussi le cas.
C'est curieux que chez certains il y ait un message d'erreur... Chez moi ça marche.
-
Je n'arrive pas a reproduire le problème.
Tu fais comment ?
Google Chrome m'indique le certificat de StartCom a1ace4046b mentionné ici (https://ssl-tools.net/certificates/p2kp12-startcom-class-2-primary-intermediate-server) :
Fingerprints: a1ace4046b
Issuer:
StartCom Certification Authority
Serial:
26 (= 0x1A)
Not valid before:
2007-10-24 20:57:09 UTC
Not valid after:
2017-10-24 20:57:09 UTC
Key size:
2048
Signature Algorithm:
sha1WithRSAEncryption
-
Moi j'ai çà sur cette page avec chrome : https://lafibre.info/evolution/certificat-tls/msg213992/?topicseen#new
[une copie d'écran indiquant La méthode d'échange de clé est RSA.]
Google Chrome supporte ECDHE_RSA donc la méthode préférée d'échange de clé devrait être ECDHE_RSA.
Tu ne parles donc pas au vrai serveur.
-
L’élèment extérieur non sécurisé, c'est l'image que tivoli a rajouté à son post (il faut de préférence utiliser le stockage des images et document sur le forum directement , en cliquant sur Fichiers joints et autres options… quand tu rédiges le post.
Ce serait sympa d'avoir un moyen d'insérer des images n'importe où dans son message!
-
L’élèment extérieur non sécurisé, c'est l'image que tivoli a rajouté à son post (il faut de préférence utiliser le stockage des images et document sur le forum directement , en cliquant sur Fichiers joints et autres options… quand tu rédiges le post.
Desole j'ai trop l'habitude des forums qui ne proposent pas cette option
-
Desole j'ai trop l'habitude des forums qui ne proposent pas cette option
D'où ma proposition que les images soient copiées et intégrées par le serveur lui même!
Cela évite plusieurs soucis dont la disparition des ressources externes rendant les messages incompréhensibles, les contenus externes non sécurisés (HTTP) causant un "contenu mixte"...
-
Moi, j'ai un problème équivalent:
(http://alexou.fr.cr/email/files/TlsLaFibreInfo.png)
Mais je pense que c'est Iron qui ne gère pas grand chose en certificats, car c'est pareil pour les sites de Google.
Et si tu cliques sur "informations relatives au certificat"?
-
Desole j'ai trop l'habitude des forums qui ne proposent pas cette option
Moi aussi j'ai mis une image en "exterieur". Et je fais tout le temps comme ça,
Mais moi je copyrighte une partie de mes images. Même si cela n'empêche pas de faire selon le souhait de Vivien.
Pour le moment, pas envie de changer. J'étudierai cette possibilité plus tard.
Non, c'est ECDHE_RSA.
Tu ne parles donc pas au vrai serveur.
Polynesia et moi nous passons par Bitdefender pour les connexions https.
Nous sommes au courant via le support que nous avons déjà eu sur le forum officiel du produit.
Mais contrairement à lui, je suis de moins en moins satisfait pour des raisons de bugs, comme dit Vivien...
J'ai eu la flemme de désinstaller Bitdefender (car c'est très lourd), mais c'est prévu durant cette année. Après, j'aurai un problème de licence de toute façon, cela me motivera en dernier recours.^^
Paul dit qu'Avast à le même comportement en https.
Cela évite plusieurs soucis dont la disparition des ressources externes rendant les messages incompréhensibles
L'une de mes spécialités.
Mais je pense que l'intégration des images mérite un sujet à part.
Toutefois, ma position là-dessus est le statu quo. Ou éventuellement des améliorations comme pouvoir le mettre où l'on veut dans le message, si ce n'est pas déjà le cas (pas essayé).
Et si tu cliques sur "informations relatives au certificat"?
Ah, je reviens dans un autre message avec les copies d'écrans sur ça.
-
Et si tu cliques sur "informations relatives au certificat"?
Voilà:
(https://alexou.fr.cr/email/files/TlsLaFibreInfo-1.png)(https://alexou.fr.cr/email/files/TlsLaFibreInfo-2a.png)(https://alexou.fr.cr/email/files/TlsLaFibreInfo-2b.png)(https://alexou.fr.cr/email/files/TlsLaFibreInfo-3.png)
-
Le logiciel qui fait du MITM, c'est beau.
-
Google Chrome affiche le certificat 1a, Wireshark voit le certificat n° 1194171473 (=0x 47 2D 9C 51).
Incompréhensible!
-
Voilà:
(http://alexou.fr.cr/email/files/TlsLaFibreInfo-1.png)(http://alexou.fr.cr/email/files/TlsLaFibreInfo-2a.png)(http://alexou.fr.cr/email/files/TlsLaFibreInfo-2b.png)(http://alexou.fr.cr/email/files/TlsLaFibreInfo-3.png)
-
Le wildcard permet de sécuriser des sous-domaines, c'est tout. Je t'invite à regarder Tutoriel pour chiffrer un site web gratuitement en 14 étapes simples (https://lafibre.info/cryptographie/tuto-https/) si tu es intéressé par un certificat. StartSSL est le seul, reconnu par tous les navigateurs a être gratuit. Le wildcard demande par contre d'avoir vérifié tes papier d'identité (59$)
Ce qui se comprend facilement :
- pour un nom simple, il est possible de vérifier que nom de domaine que tu valides non seulement existe et que tu le contrôles, mais aussi qu'il n'est pas très semblable à un nom très connu comme Gooogle ou Go0gle ou que sais-je;
- un joker permet d'utiliser n'importe quel nom dans le DNS sans contrôle possible a priori; cela permettrait une attaque de type hameçonnage (fishing);
donc ils préfèrent sécuriser le certificat en ayant le nom d'un mec qui pourra être rendu responsable en cas de fraude!
L’élèment extérieur non sécurisé, c'est l'image que tivoli a rajouté à son post (il faut de préférence utiliser le stockage des images et document sur le forum directement , en cliquant sur Fichiers joints et autres options… quand tu rédiges le post.
Les éléments extérieurs posent d'autres soucis que simplement cet avertissement de contenu mixte.
Je ne vois rien dans ta copie d'écran qui dit que les paramètres de sécurité sont "obsolètes", par contre j'ai l’impression que tu as un outil qui sniffe tes connexions https : Bitdefender.
Oui c'est un autre souci que ce dont je parlais. C'est complètement HS.
Je trouve ce système très limite et tu augmentes les risques de faille de sécurité en laissant un logiciel tiers avoir accès à toutes tes données confidentielles. Quand tu donne ton numéro de carte bleu, Bitdefender le voit passer en clair visiblement.
Oui c'est étonnant d'ailleurs comme certaines personnes, quand on leur explique que HTTPS (= HTTP/S) ou IMAP/S protègent le lien "de bout en bout", ne voient pas qu'ils ne devraient pas pouvoir dans le même temps utiliser un logiciel de sécurité filtrant qui ne collabore pas avec le logiciel client (un logiciel pourrait faire appel à un AV ou autre filtre via une config, ou en passant par l'installation d'une extension).
En fait beaucoup de gens ne comprennent rien à la sécurité ou l'architectures, aux principes, etc.; ils peuvent connaitre des détails, avoir appris les couches de protocoles, même pontifier sur les couches OSI, et ne pas saisir que le chiffrement s'oppose directement au filtrage des contenus (dans un but de sécurisation ou autre).
Ok il peut t’alerter contre des virus sur les pages que tu visites mais en contrepartie il ne t’alertera pas si le certificat est révoqué et en cas de bug, Bitdefender peut laisser passer des infos confidentielles sur Internet...
La vérification est déléguée complètement à un logiciel tiers, qui doit certainement vérifier la date d'expiration, mais qui sera peut-être moins strict dans certaines vérifications.
Sinon il est normal d'avoir le message "mais il ne possède pas de certificat de clé publique" :
Non c'est un message confusionnant, faux, inepte. Il n'est pas normal d'être exposé à des messages confusionnants, faux, ineptes.
-
https://sslcheck.globalsign.com/fr/sslcheck?host=lafibre.info#46.227.16.8-cert
Chaîne de certificats recommandée
Sujet:
CNStartCom Class 2 Primary Intermediate Server CA
OStartCom Ltd.
OUSecure Digital Certificate Signing
CIL
Emetteur:
CNStartCom Certification Authority
OStartCom Ltd.
OUSecure Digital Certificate Signing
CIL
Date d'expiration:
1/24/2017, 9:57:09 PM
Numéro de série:1A
Empreinte numérique (SHA-1):A1ACE4046B6E332232B87ECFB6F37A0763720147
Je parle de ça!
Ou ça :
Common name: StartCom Class 2 Primary Intermediate Server CA
Organization: StartCom Ltd.
Valid from October 14, 2007 to October 14, 2022
Issuer: StartCom Certification Authority
https://www.geocerts.com/ssl_checker
Ou ça :
Common name:
StartCom Class 2 Primary Intermediate Server CA
SAN:
Valid from:
2007-Oct-14 20:57:09 GMT
Valid to:
2022-Oct-14 20:57:09 GMT
Organization:
StartCom Ltd.
Organizational unit:
Secure Digital Certificate Signing
City/locality:
State/province:
Country:
IL
Serial number:
1cab36472d9c51
Algorithm type:
SHA256withRSA
Key size:
2048
https://ssltools.websecurity.symantec.com/checker/views/certCheck.jsp
J'y comprends rien!
-
En même temps, quand je vois la multiplication des usurpations de certificats, je n'ai aucune confiance dans les https.
Ah bon, où vois-tu une "multiplication des usurpations de certificats"?
-
vivien, tu peux poster le contenu de SSLCertificateFile?
-
Ah bon, où vois-tu une "multiplication des usurpations de certificats"?
https://www.nextinpact.com/news/93564-google-monte-au-creneau-contre-certificat-securite-genere-en-son-nom.htm
https://www.nextinpact.com/news/93514-certificats-quand-comodo-se-fait-berner-par-alias-outlook-com.htm
https://www.nextinpact.com/archive/65907-diginotar-faillite-certificats-ssl-securite.htm (2011 mais en relation indirecte avec le précédent lien)
https://www.nextinpact.com/news/93164-laffaire-superfish-revele-probleme-securite-plus-vaste-avec-certificats.htm
etc
On peut appeler ça comme on veut, mais les certificats ne sont pas infaillibles, comme on voulait nous faire croire.
-
Corrector, utilise plutôt l'édition de message plutôt que de faire du multiposts ;)
-
Le logiciel qui fait du MITM, c'est beau.
C'est pour garantir un maximum de sécurité comme ils disent...
-
Corrector, utilise plutôt l'édition de message plutôt que de faire du multiposts ;)
Surtout pas, le "multiposte" est fait exprès.
Devine pourquoi.
-
Surtout pas, le "multiposte" est fait exprès.
Devine pourquoi.
1/ Nous embêter (pour rester poli)?
2/ Atteindre au plus vite tes 10 000 messages?
3/ Bien voir ton avatar (que je ne qualifierai pas en public)?
-
C'est pour faire comme les séries pourries : plutôt que de faire un navet en film, on tient les gens naïf en haleine pendant toute une série ? ;D
-
C'est pour faire comme les séries pourries : plutôt que de faire un navet en film, on tient les gens naïf en haleine pendant toute une série ? ;D
Tu rigoles, mais maintenant, on fait des navets en plus de 4 films long métrages...
-
1/ Nous embêter (pour rester poli)?
2/ Atteindre au plus vite tes 10 000 messages?
3/ Bien voir ton avatar (que je ne qualifierai pas en public)?
Qu'est-ce qu'il a mon avatar? :o
-
Corrector, utilise plutôt l'édition de message plutôt que de faire du multiposts ;)
Je l'utilise, souvent.
Mais pas pour mélanger différents sujets de discussion!
-
Pour toi, c'est facile de le valider :)
Pour la masse d'anonymes qui voudrait le vérifier, c'est cause perdu (c'est pour cela que la chaine de """"confiance"""" actuelle est utile)
-
https://www.nextinpact.com/news/93564-google-monte-au-creneau-contre-certificat-securite-genere-en-son-nom.htm
https://www.nextinpact.com/news/93514-certificats-quand-comodo-se-fait-berner-par-alias-outlook-com.htm
https://www.nextinpact.com/archive/65907-diginotar-faillite-certificats-ssl-securite.htm (2011 mais en relation indirecte avec le précédent lien)
https://www.nextinpact.com/news/93164-laffaire-superfish-revele-probleme-securite-plus-vaste-avec-certificats.htm
etc
Tu as tellement peu d'exemples de cette soi-disant "multiplication" que tu as été obligé de citer un exemple de 3 ans qui a fait couler la boite responsable! Cet exemple semble justement montrer qu'un CA ne peut pas se permettre absolument n'importe quoi! (En fait je pense qu'on ne peut pas en conclure cela parce qu'il s'agissait qu'une racine très très peu utilisée et on ne peut pas généraliser.)
Et je ne parle même pas de l'exemple d'un adware pré-installé qui n'a rien à voir avec les errements des CA (à moins que tu penses qu'il ne devrait pas être possible de monter un proxy MITM sur sa propre machine pour ses propres besoins!). Mais à ce compte là tu pouvais aussi bien me citer n'importe quel logiciel AV qui fait même chose.
On peut appeler ça comme on veut, mais les certificats ne sont pas infaillibles, comme on voulait nous faire croire.
Voilà, on appelle ça "pas infaillible"!
Et donc on s'occupe sérieusement des dysfonctionnements. Mais j'évite de laisser entendre que le système actuel a une valeur quasi nulle en matière de sécurisation parce que ce n'est pas le cas.
-
Si tu lisais mes liens, le truc de 2011 y est uniquement car c'est un lien qui se trouve dans le 2ème lien... de 2015.
3 exemples me suffisent amplement pour une multiplication.
Edit: mes propos ont été enlevés, mais j'en remet un: à partir de là, je re-ignore tes propos Corrector.
-
Mais comment tu valides un tel certificat?
Tu hijack mozilla.org pour que les victimes installent ta version de firefox par exemple :-)
-
S'il y a un cas avéré en 2011, et deux cas depuis, tu vas parler de multiplication?
Et si il y a une éolienne dans une ville, et que l'année d'après on en trouve deux, tu vas parler d'augmentation de 100%?
-
On peut appeler ça comme on veut, mais les certificats ne sont pas infaillibles, comme on voulait nous faire croire.
Je me demande qui t'a raconté que l'informatique pouvait être "infaillibles", ou que les tiers de confiance pouvaient l'être.
Tu dois être le genre de type qui racontent après un accident nucléaire : "quels idiots les scientifiques, ils nous ont dit que l'accident était im-po-ssi-ble". Alors que personne n'a jamais dit ça. Tout ça c'est dans la tête des gens qui s'intoxiquent eux même.
En pratique, ce système permet à la plupart des utilisateurs d'être raisonnablement confiants.
Les accidents d'avions arrivent et font en une seule fois beaucoup de victimes.
Les dysfonctionnement sur des systèmes de certification peuvent arriver et faire des dégâts aussi. Si tu regardes bien, j'ai fait la publicité d'un de ces dysfonctionnement. Je n'ai pas cherché à minimiser l'affaire.
Quelqu'un qui a des ennemis extrêmement puissants doit prendre des mesures de sécurité plus importantes que simplement se reposer sur "https:" et le cadenas dans la barre d'adresse du navigateur.
Est-ce que tu penses sérieusement qu'un adware pré-installé montre une faille dans le système des certificats?
-
1/ Nous embêter (pour rester poli)?
2/ Atteindre au plus vite tes 10 000 messages?
3/ Bien voir ton avatar (que je ne qualifierai pas en public)?
Comme tu n'es pas assez éveillé pour arriver à comprendre tout seul, je vais t'aider.
Ce topic contient (entre autres)
- une sous-discussion sur les logiciels de sécurité qui font de l'interception TLS
- une sur la (soi-disant) "multiplication des usurpations de certificats"
- une sur les certificats auto-signés et donc invérifiables par un simple navigateur
- une sur l'insertion des images dans les messages
- une sur le soi-disant "multipostage" sur le forum (le multipostage désigne tout autre chose sur Usenet news, c'est la multiplication de messages identiques ou très similaires dans différents groupes)
Ces thèmes ont un lien très faible (voire inexistant) avec le sujet initial.
Selon le développement des discussions sur des sujets précis et distincts du thème initial, il peut être préférable de scinder le topic. C'est une décision basée sur la quantité de messages qui s'éloignent, le fait que le thème soit clairement distinct, le fait que la lisibilité du topic puisse être améliorée en séparant les thèmes. Il est inutile de créer un topic pour deux messages isolés; par contre si un topic est remplis d'une discussion sans lien, il devient moins lisible. Donc cela s'apprécie en cours de route et il est difficile d'anticiper la popularité d'un HS. Une division mécanique du topic au moindre début de HS n'est pas utile.
Pour un modérateur, il est appréciable que les forumeurs aient un comportement que tu qualifies de "multipostage" comme moi. Je le sais, j'ai été modérateur!
-
Je ne trouve pas ce certificat 064969b7f4d6a74fd098be59d379fae429a906fb
En effet, Opera voit bien le certificat 06 49 69 B7 F4 D6 A7 4F D0 98 BE 59 D3 79 FA E4 29 A9 06 FB (sérial 0x1C AB 36 47 2D 9C 51 expire 14/10/2022 21:57:00 GMT).
-
Nouveau certificat https pour https://LaFibre.info
J'ai mis en place un nouveau certificat TLS pour https://LaFibre.info
Il est valable 2 ans et supporte les sous-domaines (*.lafibre.info)
Un petit rappel en passant : ce certificat est valide pour
Nom DNS=*.lafibre.info
Nom DNS=lafibre.info
Nom DNS=testdebit.info
Nom DNS=*.testdebit.info
La présence explicite de "lafibre.info" dans les "alternative names" est nécessaire, en effet lafibre.info n'est pas un sous domaine et donc pas inclus dans *.lafibre.info.
Par ailleurs, si pour tout nom x le domaine x.lafibre.info est inclus, ce n'est pas valable pour y.x.lafibre.info
-
https://www.nextinpact.com/news/93164-laffaire-superfish-revele-probleme-securite-plus-vaste-avec-certificats.htm
etc
On peut appeler ça comme on veut,
On peut appeler ça un maliciel pré-installé, parce que c'est ce dont il est question. Intercepter des communications chiffrées, les déchiffrer, les re-chiffrer, générer des certificats bidons... sans la permission explicite et le consentement informé de l'utilisateur c'est parfaitement inacceptable.
mais les certificats ne sont pas infaillibles,
Cela ne démontre en rien que "les certificats ne sont pas infaillibles". Cela rappelle en revanche que nous faisons en général confiance par défaut à un certains nombres d'intermédiaires.
Cela démontre que certains constructeurs ne reculent devant rien et ne sont pas dignes de confiance. Les mots me manquent pour exprimer mon dégoût et ma consternation quand j'ai appris ça.
les certificats ne sont pas infaillibles, comme on voulait nous faire croire.
Si tu crois que les certificats sont conçus pour protéger contre une attaque du constructeur de la machine, c'est que tu ne comprends rien à rien.
L'attaquant est censé être en dehors de ton ordinateur.
La cryptographie n'est pas faire pour protéger contre des maliciels pré-installés. Cela n'a rien à voir.
-
Ce topic est occupé par plusieurs discussions sans liens avec le sujet initial.
J'ai repris les seuls messages pertinents dans un autre topic :
https://lafibre.info/evolution/signature-du-certificat-tls-de-lafibre-info/
-
https://www.nextinpact.com/news/93514-certificats-quand-comodo-se-fait-berner-par-alias-outlook-com.htm
(...)
On peut appeler ça comme on veut, mais les certificats ne sont pas infaillibles, comme on voulait nous faire croire.
Voyons voir cette affaire :
Un utilisateur se fait passer pour Microsoft et obtient un certificat au nom de l'éditeur
Et voilà que Comodo se retrouve une nouvelle fois impliqué dans un problème de certificat. Un responsable informatique finlandais a en effet remarqué en janvier que le webmail de Microsoft, Outlook.com, permettait de créer des alias de manière assez libre (la fonctionnalité n’est pas neuve). Il s’est alors demandé s’il pouvait créer une adresse ayant une apparence « officielle ». Dont acte : l’alias hostmaster@live.fi lui a été attribué.
Fort de cette nouvelle adresse (qui ne fait finalement que renvoyer vers son adresse email centrale), il a réalisé une demande de certificat auprès de Comodo et au nom de Microsoft. L’adresse ayant paru suffisamment officielle, aucune question n’a été réclamée selon Tivi, qui rapporte l’information. Visiblement surpris par le résultat, le responsable informatique a alors contacté Microsoft et l’autorité finlandaise de régulation des communications, sans résultats.
Depuis quand un nom comme hostmaster est disponible pour les utilisateurs de base?
C'est la faute de COMODO et du système de certification si un quidam a accès à l'adresse hostmaster@live.fi?
Pourquoi l'auteur de l'article laisse entendre que COMODO a commis une faute ici?
Pourquoi l'auteur de l'article laisse entendre que cette affaire est comparable à ce qui est arrivé à Diginotar?
C'est quoi ce journalisme à noix qui mélange tout?
-
C'est la faute de COMODO et du système de certification si un quidam a accès à l'adresse hostmaster@live.fi?
Non
C'est la faute de comodo de penser que cette adresse appartient forcement à l'administrateur du domaine.
C'est la faute de comodo de ne faire une vérification de la propriété que via ce moyen.
-
Non
C'est la faute de comodo de penser que cette adresse appartient forcement à l'administrateur du domaine.
C'est la faute de comodo de ne faire une vérification de la propriété que via ce moyen.
C'est un point de vue.
En tout cas c'est marqué dessus :
eMail-based DCV (Traditional)
You will be sent an email to an administrative contact for your domain. The email will contain a unique validation code and link. Clicking the link and entering the code will prove domain control.
Valid email addresses are:
Any email address which our system can scrape from a port 43 whois check;
The following generic admin type email addresses @ the domain for which the certificate is being applied:
admin@
administrator@
postmaster@
hostmaster@
webmaster@
Source : https://support.comodo.com/index.php?/Default/Knowledgebase/Article/View/791/16/
Donc l'article n'avait qu'à citer cette documentation pour critiquer COMODO et non citer un fait divers!
-
Et sans BitDefender, j'ai la même !
Edit : Après une rapide recherche, il semblerait que ce soit lié à SHA1 qui est utilisé pour l'empreinte plutôt que SHA2 et Chrome n'a pas l'air d'aimer. M'en demandez pas plus, j'y connais rien je ne fais que répéter ce que j'a lu ailleurs ;)
https://productforums.google.com/forum/#!topic/chrome-fr/C_-QiLpeBFA (https://productforums.google.com/forum/#!topic/chrome-fr/C_-QiLpeBFA)
Ben oui, c'est en gros ça.
-
Non
C'est la faute de comodo de penser que cette adresse appartient forcement à l'administrateur du domaine.
C'est la faute de comodo de ne faire une vérification de la propriété que via ce moyen.
Non, ce serait la faute du CA/Browser Forum qui approuvé les règles Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates, v.1.2.3 (https://cabforum.org/wp-content/uploads/BRv1.2.3.pdf) dont la section 11.1.1 Authorization by Domain Name Registrant spécifie :
For each Fully-Qualified Domain Name listed in a Certificate, the CA SHALL confirm that, as of the date the Certificate was issued, the Applicant (or the Applicant’s Parent Company, Subsidiary Company, or Affiliate, collectively referred to as “Applicant” for the purposes of this section) either is the Domain Name Registrant or has control over the FQDN by:
(...)
4. Communicating with the Domain’s administrator using an email address created by pre-pending ‘admin’, ‘administrator’, ‘webmaster’, ‘hostmaster’, or ‘postmaster’ in the local part, followed by the at-sign (“@”), followed by the Domain Name, which may be formed by pruning zero or more components from the requested FQDN;
C'est aussi la faute des éditeurs des navigateurs, des éditeurs des OS, d'accepter des Autorités qui se réfèrent à ce document.
-
Non
C'est la faute de comodo de penser que cette adresse appartient forcement à l'administrateur du domaine.
C'est la faute de comodo de ne faire une vérification de la propriété que via ce moyen.
Admettons.
Mais Microsoft fait bien parti du groupement CA/Browser qui a autorisé ce moyen de vérification :
https://cabforum.org/members/
-
C'est la faute de comodo de penser que cette adresse appartient forcement à l'administrateur du domaine.
C'est le cas, d'après les usages et les normes :
hostmaster (plural hostmasters)
In computing, a person responsible for managing domain name records within the Domain Name System or any individual computer (typically a server).
http://en.wiktionary.org/wiki/hostmaster
5. SUPPORT MAILBOX NAMES FOR SPECIFIC INTERNET SERVICES
For major Internet protocol services, there is a mailbox defined for
receiving queries and reports. (Synonyms are included, here, due to
their extensive installed base.)
MAILBOX SERVICE SPECIFICATIONS
----------- ---------------- ---------------------------
POSTMASTER SMTP [RFC821], [RFC822]
HOSTMASTER DNS [RFC1033-RFC1035]
USENET NNTP [RFC977]
NEWS NNTP Synonym for USENET
WEBMASTER HTTP [RFC 2068]
WWW HTTP Synonym for WEBMASTER
UUCP UUCP [RFC976]
FTP FTP [RFC959]
https://www.ietf.org/rfc/rfc2142.txt
-
Hawé, donc en fait, et pour chaque domaine, ces noms devraient être reservé
Merci de l'info, le comportement de comodo est, de fait, beaucoup plus logique
-
Le fait de considérer que "HOSTMASTER" est une adresse officielle est effectivement logique.
Le fonctionnement automatisé de la vérification des noms de domaines par l'envoi d'un email est conforme à la règle commune des CA établie par le "forum".
Cependant, il est foncièrement ILLOGIQUE de certifier une information sur la base d'un email, donc du SMTP, donc du DNS et le routage, pour faire fonctionner un système cryptographique dont une des principales justifications est la facilité d'attaquer le DNS ou le routage (BGP).
-
https://www.nextinpact.com/news/93564-google-monte-au-creneau-contre-certificat-securite-genere-en-son-nom.htm
https://www.nextinpact.com/news/93514-certificats-quand-comodo-se-fait-berner-par-alias-outlook-com.htm
https://www.nextinpact.com/archive/65907-diginotar-faillite-certificats-ssl-securite.htm (2011 mais en relation indirecte avec le précédent lien)
https://www.nextinpact.com/news/93164-laffaire-superfish-revele-probleme-securite-plus-vaste-avec-certificats.htm
etc
On peut appeler ça comme on veut, mais les certificats ne sont pas infaillibles, comme on voulait nous faire croire.
Sur le net, rien n'est "infaillible".
Surtout pas un système qui repose sur la fiabilité de centaines de tiers de confiance plus ou moins bien identifiés.
Mais l'affaire Superfish ne démontre pas cela. Elle n'a simplement rien à voir.
-
Sous chrome cadenas barré ce matin. J'ai l'impression que chrome change beaucoup de comportement su rla connexion internet ces temps ci.
-
C'est vert pour moi, sous Chromium et Chrome Version 43.0.2357.130 (64-bit) sous Ubuntu.
Il indique la raison de la perte de confiance ?
-
Voilà ce qu'il me mets... Je ne sais pas si OptroLight a la même chose de son côté.
-
Toujours le problème de SHA1
Voila une copie d'écran chez moi : (Chrome Version 43.0.2357.130 64-bit sous Ubuntu que j'ai installé pour l’occasion - ce n'est pas mon navigateur habituel)
-
Voilà ce qu'il me mets...
exactement le même message pour moi avec en bas aussi : "vous avez visité ce site la 1ere fois le 2 avril 2015" . C'est faux mais que s'est il passé se jour là , sur chrome ou sur le site ?
-
oui même chose.
-
Le renforcement des sanctions de
l'eurogroupe Google Chrome contre la Grèce SHA-1...
Je propose un référendum!
-
;D