On 26/11/2018 08:08, Xavier Beaudouin wrote:
>> Je plussoie : j'ai tellement de warnings que le certificate est pas bon
>> qu'on ne
>> regarde même plus; en plus maintenant avec les certificats limités à 2 and
>> pour
>> les publics, çà devient un travail à plein temps rien que pour renouveler ces
>> trucs
>>> Donc tant qu'on ne pourras pas faire facilement "letsencrypt fout moi ton
>>> certif
>>> sur cet netgear/juncisco/huatik/..." alors voila...
S'il y a des trucs merdiques dans les réseaux, c'est un peu parce qu'il y a des
gens
qui en vendent, et beaucoup parce qu'il y a d'autres gens qui en achètent (le
plus
souvent pas ceux qui travaillent avec).
>> La meilleure chance d'avoir un MITM qui marche, d'avoir tellement de
>> certificats
>> incorrects que tout le monde s'en fout.
> Et bien là on est bien partit pour... Je passe mon temps a faire accept et
> oublie que
> l'effet "positif" des trucs en chiffré est en fait de la poudre aux yeux.
Il ne faut pas croire les vendeurs. HTTPS ne garantit pas grand chose si on ne
l'intègre
pas dans une infrastructure avec CAA, CT, preload, DANE etc.
> Donc à force, il est clair qu'un jour, un opérateur vas se faire 0wn3d par un
> MiTM à cause
> de ces conneries (interface equiment réseau, ipmi, applet java ikvm non
> signée, ...),
> clairement on arrive donc a saturation et on ne lis plus ces warnings...
Avec un rapport d'incident public honnête et détaillé pour que ça serve de
leçon.
J.-F. B.
--
If you think the problem is bad now, just wait until we've solved it.
-- Arthur Kasspe
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
