Radu-Adrian Feurdean wrote:
On Thu, 27 Jan 2011 11:38 +0100, "Rémi Bouhl"<remibo...@gmail.com>
wrote:
Ça fonctionne comment, ce genre d'horreurs?
En cassant le bout-en-bout SSL pour intercepter avec un vrai/faux
certificat reconnu par le navigateur?
Exactement. Avec une chaine de certification qui a les bases dans l'AD
et qui est pousse automatiquement sur les postes.
Probleme: de qu'on sort du chemin pre-determine par les droids marketing
du constructeur (par exemple en utilisant un autre navigateur) ca
commence a poser des problemes, avec des security warnings que les
utilisateurs commencent a prendre pour "standard"/normal et autres chose
de ce genre.....
Je verrais bien aussi des patchs pour les navigateurs qui refuseraient
les certificats émis par autre chose que le site final.
Tout le système de chaine de certificats actuel me fait penser à un
cirque qui ne sécurise rien du tout mais donne juste assez d'illusion
pour que des gens y croient.
La méthode utilisée par le client ssh me parait bien: à la première
connection, on enregistre l'empreinte du serveur, et ce n'est que si
elle change par la suite que le programme se met à émettre des erreurs.
Je n'aimerais pas que la connection à l'extranet de gestion de ma boite
soit détournée parce que le navigateur d'un commercial itinérant accepte
un certificat du gouvernement chinois en lieu et place du vrai...
--
Francois Tigeot
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
