> Radu-Adrian Feurdean a écrit : > Pour un FAI, techniquement, non. Je suis d'accord, mais à placer dans le contexte : qui déploient des firewall ? pas les FAI (pas pour la partie "transit"). A part ceux qui veulent la fin de la neutralité du net et ralentir Netflix, mais là c'est plus du firewall. Pour bloquer le port 25 en sortie sur l'aDSL, on appelle pas çà firewall non plus, çà s'appelle access-list.
Donc je récapépète : dans le contexte, firewall == enterprise. > Par contre ca change definitivement ua resenti utilisateur. Quand tout ce qui > est SSL c'est pareil 8 heures par jour, > t’étonnes pas si a la maison les memes utilisateurs n'arrivent plus a faire > la distinction entre un certif normal, > un EV et un "invalide". Tu vas me dire que ce n'est pas ton probleme, mais > c'est le mien. Tu n'as pas bien lu une de mes contribs récentes : je suis d'accord. A force d'avoir des erreurs, on clique sur "ignorer" sans regarder l'erreur et on réduit la sécurité. > Donc si je peux mettre des batons dans les roues a tout le monde qui deploie > du "SSL inspection", je vais le faire. Je comprends. Mais politiquement, je n'ai pas le choix. >> Le jour ou tu te feras véroler par quelque chose que tu n'as pas >> intercepté parce que tu ne l'as pas scanné, tu changeras d'avis. > Par contre, le jour ou tu te feras veroler par quelque-chose que tu as déjà > scanne mais que l'AV n'a rien detecte, je sais que tu va pas changer d'avis. Hélas. > Moi j'aime vivre "dangereusement" et pour l'instant ca marche pas mal. Moi aussi, mais pas à $job[0]. A la maison, j'ai récemment activé (ou au moins, essayé) l'option SSL intercept sur le firewall qui marche pour moi à la maison, Untangle. C'est une vraie chiotte. J'ai lu la doc, j'ai installé le certificat, etc etc. Les options par défaut çà sert à presque rien, les options avancées faut passer sa vie à mettre des exceptions. Je vais pas le renouveler, et c'est pas à cause des $50 par an, c'est parce que j'ai un taf à temps plein et pas besoin d'un autre. Il y a 2 utilisateurs, dont moi. L'autre a compris qu'elle aura le mot de passe enable quand elle revient à la maison avec son numéro CCIE. A la maison, pas d'intercept SSL. On en revient à la question de base : HTTPS partout, c'est fait. On va pas l'enlever. Done deal. Cà fait chier tout le monde et moi en particulier, merci de ne pas refaire la connerie avec 3 concurrents pour chaque TLS pour chaque protocole. Michel. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
