Le 09/12/2013 à 9:54, Fabien Delmotte a écrit : > Mon propos était de dire que si il y a eu detection c’est > que l’implementation au niveau technique n’était pas bonne.
En l'espèce, cette détection semble avoir été faite à l'aide du "public key pinning" mis en place par Google dans Chrome à partir de la version 13 pour ses propres certificats. Chrome a donc râlé (ce qui n'aurait pas été le cas si une AC locale avait été installée pour le MITM SSL, car une telle AC a priorité sur le public key pinning, d'après Adam Langley lui-même: https://www.imperialviolet.org/2011/05/04/pinning.html), mais après, comment l'info est-elle remontée chez Google, je me le demande. Chrome "téléphonerait-il maison" (pas le temps de regarder les sources) ? Sont-ce les utilisateurs eux-mêmes qui ont averti Google ? L'article posté par Langley sur Google Online Security Blog n'est pas très bavard là-dessus, puisqu'on ne sait pas très bien qui étaient les utilisateurs concernés et quel était le matériel commercial dans lequel l'AC intermédiaire se trouvait... Article extrêmement éclairant sur l'interception SSL: http://blog.cryptographyengineering.com/2012/03/how-do-interception-proxies-fail.html Voir en particulier l'ultimatum lancé en 2012 par Mozilla envers TrustWave, qui à une époque avait autorisé ce que l'AC intermédiaire de l'IGC/A vient "par erreur" de se permettre: http://blog.cryptographyengineering.com/2012/02/quick-hit-ssl-mitm-update.html Cordialement, Bruno -- - Service Hydrographique et Oceanographique de la Marine - DMGS/INF - 13, rue du Chatellier - CS 92803 - 29228 Brest Cedex 2, FRANCE - Phone: +33 2 98 22 17 49 - Email: bruno.tregu...@shom.fr --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
