> Stephane Bortzmeyer a écrit : > Avec un raisonnement pareil, on peut arrêter de faire du HTTPS tout de suite > (faire du TLS avec Gmail n'empêche pas Gmail de filer les données à la NSA).
Tu crois qu'ils le font pas ? On est en train d'arriver à un point ou c'est contre-productif. Toute la journée, je travaille sur des pages HTTPS qui ont un problème de certificat et j'ignore le problème. Mettre HTTPS partout avec des certificats jamais maintenus, çà fabrique l'habitude d'ignorer les erreurs. Pour qu'un mécanisme de sécurité soit efficace, il faut qu'il soit déployé, et dans un état qui ne soit pas "tout le monde s'en fout". Récemment je me suis posé la même question à propos de RPKI : qui s'en sert, quel est le niveau de déploiement, qu'est-ce que çà m'apporte si je le déploie, qu'est-ce que çà m'enlève si je ne le déploie pas. Qui s'en sert : dans la région ARIN, pratiquement personne. Quel est le niveau de déploiement : pratiquement zéro. Qu'est-ce que çà m'apporte si je le déploie : rien. Le travail de le faire et de le maintenir, les emmerdes si il y a un problème quelconque, aucun gain. Qu'est-ce que çà m'enlève si je ne le déploie pas : rien. Tout le monde s'en fout. C'est bien de prêcher la bonne parole, mais vu de mon coté de la lorgnette c'est encore un emmerdement supplémentaire qui me fait perdre mon temps. DNS sur TLS c'est pareil. La sécurité c'est bien, mais quand çà devient tellement compliqué que les utilisateurs écrivent le mot de passe sur une note post-it collée à l'écran, faut changer quelque chose. Michel. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
