Cher journal,
On parle parfois ici de voyages-sncf.com et de Verisign quand leurs systèmes ne fonctionnent pas bien. J'ai un autre exemple à te proposer, qui a l'avantage d'être plus qu'un simple dysfonctionnement : un grave risque de sécurité des transactions financières, joyeusement ignoré depuis des semaines.
Ça se passe sur le site ouaibe des listes des mariage des Galeries Lafayette : http://fr2.lafayettelistes.com/bmgl/GL/gift/list_search.jsp . En HTTP simple, ça marche bien. Mais essayez donc en HTTPS…
Selon le navigateur – ou plutôt selon l'implémentation de SSL utilisée, je suppose –, cela donne deux résultats différents :
- le navigateur affiche un message d'échec de connexion ;
- le navigateur affiche une alerte de certificat non fiable.
En creusant un peu, on constate que :
- le premier cas est dû à un paquet anormal envoyé par le serveur (essayez avec « gnutls-cli -p 443 fr2.lafayettelistes.com ») ;
- le second cas est dû à un certificat auto-signé dans la chaîne de certification (essayez avec « openssl s_client -connect fr2.lafayettelistes.com:443 »).
Ce site en HTTPS est utilisé pour les transactions bancaires de paiement des cadeaux. Pour donner un numéro de carte bleue, devoir faire aveuglément confiance à un certificat SSL inconnu, c'est certes mieux que de n'avoir aucune sécurisation, mais ça la fout quand même mal, très mal.
Ce problème existe depuis au moins 3 semaines. Il a été signalé (par moi) :
- par le formulaire de contact du site des Galeries Lafayette, qui transmets le message à des employés de boutiques, qui n'en ont strictement rien à cirer ;
- au contact du WHOIS du domaine, donc l'adresse n'existe plus ;
- au bureau d'enregistrement du domaine – ainsi que l'obsolescence des information du WHOIS –, qui n'en a visiblement rien à cirer non plus.
Je pense que la plupart des internautes qui veulent offrir des cadeaux de mariage par les Galeries Lafayette ignorent simplement l'avertissement de sécurité, ce qui revient à nier toute précaution pour ses transactions bancaires. À votre avis, on fait quoi, face à un truc aussi énorme, et dont les responsables se moquent éperdument ?
Journal Des paiements non sécurisés ?
4
oct.
2009
# au contact du WHOIS du domaine, donc l'adresse n'existe plus ;
Posté par BohwaZ (site web personnel, Mastodon) . Évalué à 4.
Ça veux dire qu'on peux récupérer le domaine non ? ;)
« Je vois bien à quels excès peut conduire une démocratie d'opinion débridée, je le vis tous les jours. » (Nicolas Sarkozy)
[^] # Re: au contact du WHOIS du domaine, donc l'adresse n'existe plus ;
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 5.
[^] # Re: au contact du WHOIS du domaine, donc l'adresse n'existe plus ;
Posté par Dr BG . Évalué à 6.
[^] # whois de linuxfr
Posté par plagiats . Évalué à 9.
(...)
Tech Phone:+33.33333333
[^] # Re: whois de linuxfr
Posté par Dup (site web personnel) . Évalué à 2.
# Sécurité
Posté par -=[ silmaril ]=- (site web personnel) . Évalué à 8.
1/ le fait que la session soit cryptée pendant l'échange des informations ?
2/ le fait que tes données bancaires soient traitées de manière sécurisée *après* que
tu les aient fournies au site ?
3/ le fait que tu soit sûr de "causer" aux galleries lafayettes ?
Dans ton cas le 1 est toujours assuré, mais le 3 ne l'est "pas". Problème: les politiques
d'attributions des certificats font que l'AC va vérifier que le certificat est bien émis aux
propriétaires du domaine, pas que le domaine "lafayettelistes" appartient bien aux "galleries lafayette".
Le gros soucis dans tout ces sites n'utilisant pas les offres de TPEV des banques est le point 2, et ça quelque soit la validitée du certificat, certes il y a des audits mais comment dire ...
[^] # Re: Sécurité
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 5.
- on n'a aucune certitude que seul le site auquel on croit s'adresser reçoit les informations (il peut les recevoir ainsi qu'un homme au milieu) ;
- dans le meilleur des cas, on donne son numéro de carte bancaire non pas à une banque pour qu'elle confirme aux Galeries qu'on a bien payé, mais aux Galeries pour qu'elles se servent.
Le second point est hors du propos de mon journal, et explique que je refuse d'acheter quoi que ce soit chez Amazon, à la Fnac en ligne ou chez LDLC par carte bleue. Donne mon numéro de carte bancaire, ok, mais à une banque, pas à un magasin qui l'enregistrera pour des achats ultérieur ou pour Dieu sait quoi (oui, Amazon et la Fnac, ils l'enregistrent).
Quant aux vérifications par les AC, il me semble qu'elles demandent tout de même des justifications comme des relevés de compte, pour intégrer le nom de la personne dans le certificat. De toute façon, pour le moment, ce que j'ai vu de plus sérieux comme vérification, c'était CAcert. La façon dont SSL est actuellement utilisée est complètement anormale, je trouve. Vérifier l'identité des gens, c'est le boulot des États.
[^] # Re: Sécurité
Posté par Boris . Évalué à 5.
[^] # Re: Sécurité
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 2.
[^] # Re: Sécurité
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 8.
Et même si j'étais équipé, si ce truc nécessite Flash, il exécute sur mon poste du code que je ne peux pas lire, pas question que je fasse confiance à un dispositif de sécurité que je ne peux pas vérifier.
[^] # Re: Sécurité
Posté par Antoine . Évalué à 8.
cf. http://www.ece.cmu.edu/~ganger/712.fall02/papers/p761-thomps(...)
Ensuite le code du serveur auquel tu envoies tes données, tu ne peux pas le lire non plus de toute façon. Entre faire confiance à Adobe et faire confiance à une banque pour ne pas faire n'importe quoi avec tes données, je ne sais pas ce qui est le plus raisonnable, à mon avis c'est pareil.
[^] # Re: Sécurité
Posté par santos . Évalué à 2.
Comment est-ce possible ?
Je croyais que justement, le système de paiement sécurisé fait que seule la banque reçoit les données que je saisis...
[^] # Re: Sécurité
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 6.
La Fnac, Amazon et quelques autres, pour payer, te demandent directement le numéro de ta carte, la date d'expiration et le prétendu « cryptogramme de sécurité », enregistrent ces informations, puis vont se servir auprès de la banque. Et ensuite, conservent ces informations dans leurs bases de données pour pouvoir se servir à nouveau la prochaine fois qu'ils le voudront.
[^] # Re: Sécurité
Posté par yellowiscool . Évalué à 2.
Mais ça m'étonnerais.
Envoyé depuis mon lapin.
[^] # Re: Sécurité
Posté par mac . Évalué à 9.
Pour les Merchants ayant un gros volume, un audit externe est même imposé régulièrement.
En pratique, c'est en général plutôt appliqué.
[^] # Re: Sécurité
Posté par yellowiscool . Évalué à 3.
Envoyé depuis mon lapin.
[^] # Re: Sécurité
Posté par mac . Évalué à -3.
Pour les Merchants ayant un gros volume, un audit externe est même imposé régulièrement.
En pratique, c'est en général plutôt appliqué.
[^] # Re: Sécurité
Posté par adonai . Évalué à -2.
[^] # Re: Sécurité
Posté par ribwund . Évalué à 2.
Du coup si quelqu'un utilise ta carte avec un autre compte tu reçois un mail (et je crois qu'ils bloquent la transaction), ça permet de détecter les fraudes (c'est déjà arrivé à une connaissance).
[^] # Re: Sécurité
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 1.
Ce système absurde peut être évité, en utilisant une banque comme intermédiaire, comme ça se fait sur les sites marchants sérieux.
[^] # Re: Sécurité
Posté par Gniarf . Évalué à 8.
les croire infaillibles ou incorruptibles me fait assez rire
[^] # Re: Sécurité
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 10.
[^] # Re: Sécurité
Posté par patrick_g (site web personnel) . Évalué à 2.
[^] # Re: Sécurité
Posté par Deuterium . Évalué à 1.
[^] # Re: Sécurité
Posté par Etienne Bagnoud (site web personnel) . Évalué à 2.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Sécurité
Posté par briaeros007 . Évalué à 1.
Pas tout à fait, ils sont responsables, donc te doivent réparation de tous les dommages qu'ils ont pu te causer.
[^] # Re: Sécurité
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 3.
[^] # Re: Sécurité
Posté par mansuetus (site web personnel) . Évalué à 3.
Euh... non.
responsables, oui, mais je doute qu'ils soient reconnus comme tels au tribunal, et je doute encore plus qu'ils te donnent quelque compensation que ce soit !
C'est l'assurance de VISA (ou autre carte, ne soyons pas sectaires) qui prendra, pour le plus grand bonheur des payeurs de primes...
... et ça, c'est nous \o/
[^] # Re: Sécurité
Posté par briaeros007 . Évalué à 3.
Moi aucun doute.
et je doute encore plus qu'ils te donnent quelque compensation que ce soit !
Bien sur que si.
C'est l'assurance de VISA (ou autre carte, ne soyons pas sectaires) qui prendra, pour le plus grand bonheur des payeurs de primes...
L'assurance visa c'est quand ta cb est piraté, et elle se retourne vers les auteurs du piratage, qui sera (entre autre) amazon.
[^] # Re: Sécurité
Posté par Olivier Serve (site web personnel) . Évalué à -1.
Tu m'explique comment tu fais un MitM sur une connexion SSL sans voler la clé privée ?
[^] # Re: Sécurité
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 8.
1. tu génère un faux certificat avec les informations administratives de la vraie AC ;
2. tu génères un sous-certificat, signé avec cette fausse AC ;
3. tu génères un certificat pour le site, signé avec cette fausse sous-AC ;
4. tu montes un proxy, qui déchiffre ce qui sort du vrai site et le chiffre avec ton faux certificat avant de l'envoyer au client.
Vu du client, on voit alors un site chiffré, avec un certificat signé par ce qui ressemble à une AC, mais qui n'est pas dans la liste. D'où une alerte du navigateur. Exactement celle qui s'affiche avec le site des listes de mariage des Galeries.
[^] # Re: Sécurité
Posté par Olivier Serve (site web personnel) . Évalué à 1.
Et non, il n'y a pas d'alerte de ce type concernant le site des galeries. La seule alerte qu'il y a est que seule une partie de la page bénéficie de la connexion SSL. Rien à voir avec une histoire de MitM.
[^] # Re: Sécurité
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 6.
[^] # Re: Sécurité
Posté par dguihal . Évalué à 1.
[^] # Re: Sécurité
Posté par Olivier Serve (site web personnel) . Évalué à 0.
[^] # Re: Sécurité
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 2.
[^] # Re: Sécurité
Posté par Olivier Serve (site web personnel) . Évalué à 1.
[^] # Re: Sécurité
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 2.
[^] # Re: Sécurité
Posté par lolop (site web personnel) . Évalué à 3.
En théorie.
Votez les 30 juin et 7 juillet, en connaissance de cause. http://www.pointal.net/VotesDeputesRN
[^] # Re: Sécurité
Posté par SQP . Évalué à 10.
# dasn ton cas
Posté par Anonyme . Évalué à 10.
depuis moultes affaires judiciaires, de personnes qui souhaitent aider mais qui se trouve en garde a vue et dans les emmerdes judiciaires, j'ai pris le partie de ne rien faire et de fermer les yeux \o/
bien evidemment je n'utilise plus du tout ces sites et ne donne jamais mon numero de carte bancaire avec eux.
pour ton probleme je pense que le plus gros est de trouver un gars dans la société que tu as contacter qui comprenne de quoi tu parle. Le fils du directeur qui a été propulsé directeur informatique cherche encore dans "je monte mon site web pour les nuls" ce que veux dire WHOIS et certificat autosigné, peut etre bien https aussi (c'est plusieurs adresse http ?)
# Précision
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 6.
[^] # Re: Précision
Posté par kikicnrv . Évalué à 4.
Je n'y connais rien mais je trouve ça dingue que ça puisse être possible !
Quel est l'intérêt ? Avoir moins de donner à chiffrer ? S'ils mettaient moins de trucs à la con (genre pub flash) sur des pages qui devraient être simple et intelligible pour l'utilisateur, ils n'auraient pas à faire ça.
Parce que là en attendant on ne sait pas ce qui est crypté et ce qui ne l'est pas.
[^] # Re: Précision
Posté par yellowiscool . Évalué à 3.
Peut-être que firefox est sécurisé, mais j'avais testé l'ouverture d'url à partir de flash du type javascript:code, et ça fonctionnait avec safari à une époque.
Envoyé depuis mon lapin.
[^] # Re: Précision
Posté par gaaaaaAab . Évalué à 7.
[^] # Re: Précision
Posté par mansuetus (site web personnel) . Évalué à 3.
Perso, sur mon site (cocorico), j'ai toutes les images en ''http'' et le data en https. (media.* n'est pas géré en https, car apache m'a grondé quand j'ai essayé de faire du virtualhost sur https... me suis pas acharné non plus, mais cela semblait ''mal''... bien que ça marchât....)
[^] # Re: Précision
Posté par Victor . Évalué à 7.
http://wiki.cacert.org/VhostTaskForce
[^] # Re: Précision
Posté par mansuetus (site web personnel) . Évalué à 1.
[mode jepenseahautevoix]
Mais philosophiquement, n'est-ce pas ''mieux'' de laisser ce qui est confidentiel de ce qui est ''public'' ?
C'est vrai que les URLS sont normalement codées, et là, l'adresse media publie ces adresses via le referer...
[/mode]
Bon, donc re-merci pour l'URL !
# Chez Orange
Posté par Boris . Évalué à 10.
Je leur avait déjà envoyé un mail pour leur signaler que la connexion n'avait pas l'air chiffrée et savoir si ils pouvaient m'expliquer. Comme réponse ils ont dit que je pouvais recharger via mon mobile aussi...
Ça à l'air grave quand même...
[^] # Re: Chez Orange
Posté par Janfi . Évalué à 0.
D'ailleurs un certain Didier L. envisage de le sanctionner car il parait qu'il est pas satisfait le bougre...
[^] # Re: Chez Orange
Posté par Dup (site web personnel) . Évalué à 9.
[^] # Re: Chez Orange
Posté par Ludo . Évalué à 4.
Sur quoi pointe ce formulaire ?
[^] # Re: Chez Orange
Posté par Boris . Évalué à 3.
https://webclients.orange.fr/EcareAsGenerator/.....
Mais ça reste quand même déstabilisant quand tu lis "Vous êtes en zone sécurisée" et que t'es en HTTP simple.
[^] # Re: Chez Orange
Posté par suJeSelS . Évalué à 10.
[^] # Re: Chez Orange
Posté par Ozz . Évalué à 4.
[^] # Re: Chez Orange
Posté par __o . Évalué à 10.
Si tu sais que des données en claire peuvent être interceptées, tu devrais aussi savoir qu'elles peuvent être modifiées (donc le formulaire peut l'être).
Donc sauf si tu vérifies le paramètre action du formulaire à chaque fois que tu envois un formulaire, le formulaire lui même DOIT avoir été envoyé via SSL.
SSL ça chiffre, mais ça sert aussi à identifier/authentifier, sinon ça sert à rien.
[^] # Re: Chez Orange
Posté par norbs . Évalué à 2.
[^] # Re: Chez Orange
Posté par suJeSelS . Évalué à 5.
[^] # Re: Chez Orange
Posté par Guillaume Rossignol . Évalué à 10.
[^] # Re: Chez Orange
Posté par Ludo . Évalué à 4.
C'est la même raison qui fait que certains services comme Gmail n'utilisent SSL que pour le login. (Oui, je sais, on peut être en SSL tout le temps avec Gmail, mais par défaut, c'est juste le login).
Dans le cas présent, vu qu'il faut cliquer pour arriver à ce formulaire, oui, ils auraient pu le mettre aussi en SSL.
[^] # Re: Chez Orange
Posté par lolop (site web personnel) . Évalué à -1.
Votez les 30 juin et 7 juillet, en connaissance de cause. http://www.pointal.net/VotesDeputesRN
[^] # Re: Chez Orange
Posté par Zenitram (site web personnel) . Évalué à -2.
Parce que bon, on s'en fou un peu de la page où tu rentres les info soit protégée ou pas, il n'y a pas d'informations sensible qui sont envoyées (le serveur envoie juste le formulaire). Certes, c'est pas rassurant, car rien n'indique que la suite sera sécurisée alors que si tu passes de HTTPS à HTTP le navigateur te préviendra, pas si tu passes de HTTP à HTTP. Néanmoins, voir le sigle de sécurité sur la page que tu affiches n'est pas un gage de sécurité (c'est un "faux" sentiment de sécurité), c'est le "POST" qui vient ensuite qui est important.
Bref, c'est quoi l'adresse appelée quand tu cliques sur "valider"? HTTP ou HTTPS?
[^] # Re: Chez Orange
Posté par __o . Évalué à 9.
> c'est le "POST" qui vient ensuite qui est important
Il peut très bien y avoir un keylogger injecté dans la page (ou dans un des scripts de la page, ou dans un flash, etc), tu ne t'en rendra même pas compte.
Les formulaires DOIVENT être en HTTPS au même titre que la cible du formulaire. Et c'est aussi le cas pour toutes les données de la page : Javascripts, Flash, etc. sinon le HTTPS est inutile.
[^] # Re: Chez Orange
Posté par Moonz . Évalué à 1.
[^] # Re: Chez Orange
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 4.
D'une façon générale, avec les systèmes de chiffrement et de signature, on n'est jamais sûr qu'on s'adresse à la bonne personne ou qu'elle est seule à pouvoir déchiffrer : ce dont on est sûr, c'est que si ce n'est pas le cas, c'est sa faute.
[^] # Re: Chez Orange
Posté par kikicnrv . Évalué à -2.
(petite correction pour ceux qui n'auraient pas corrigé d'eux mêmes)
[^] # Re: Chez Orange
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 5.
[^] # Re: Chez Orange
Posté par kikicnrv . Évalué à 2.
La "clé symétrique" suivit de "clé privée" m'a enduit d'erreurs.
Toutes mes excuses.
[^] # Re: Chez Orange
Posté par BohwaZ (site web personnel, Mastodon) . Évalué à 7.
Mais ça semble être la mode, y'a un autre truc encore plus horrible, c'est la connexion soi-disant chiffrée dans un widget flash, par exemple : http://anothertime.skyrock.com/2153775481-Gadget-Pepita-Stor(...)
On peut payer en CB, directement dans le widget flash, qui nous assure qu'il est bien sécurisé et tout, mais bon aucun moyen pour le client de le vérifier. C'est une vraie plaie. Ces clowns feraient mieux de retourner à faire de la VPC par minitel...
« Je vois bien à quels excès peut conduire une démocratie d'opinion débridée, je le vis tous les jours. » (Nicolas Sarkozy)
[^] # Re: Chez Orange
Posté par bubar🦥 (Mastodon) . Évalué à 5.
[^] # Re: Chez Orange
Posté par Gniarf . Évalué à 3.
[^] # Re: Chez Orange
Posté par dinomasque . Évalué à 2.
avec des instructions pour me connecter à mon espace sécurisé.
BeOS le faisait il y a 20 ans !
# Journaliste
Posté par David Pradier . Évalué à 6.
[^] # Re: Journaliste
Posté par Sylvain D. . Évalué à 8.
[^] # Re: Journaliste
Posté par X345 . Évalué à -2.
Par contre, tu as tout intérêt à te débrouiller pour envoyer ce mail de manière anonyme (genre exim derrière tor). Dans ce cas, ce n'est pas sur que Rue89 accepte d'endosser la responsabilité, mais ça vaut le coup d'essayer.
C'est quand même assez affligeant de voir où on en est rendu. Pas étonnant que les gens soient suspicieux face au paiement sur Internet. Mais c'est dommage que ce soit à cause de la totale incompétence technique de certains administrateurs...
[^] # Re: Journaliste
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 3.
[^] # Re: Journaliste
Posté par lolop (site web personnel) . Évalué à 1.
Votez les 30 juin et 7 juillet, en connaissance de cause. http://www.pointal.net/VotesDeputesRN
[^] # Re: Journaliste
Posté par Thomas Douillard . Évalué à 5.
# Les galeries de l'insécurité ?
Posté par Simon (site web personnel) . Évalué à 10.
Il y a peut, de temps, j'étais tombé sur un lien, via Twitter. Les galeries Lafayette laissent en ligne le front controller de développement d'une application Symfony.
cf : http://www.galerieslafayette.com/carnetmode/frontend_dev.php
Je vous laisse admirer les requêtes sql etc ;)
[^] # Re: Les galeries de l'insécurité ?
Posté par ribwund . Évalué à 4.
[^] # Re: Les galeries de l'insécurité ?
Posté par balzane . Évalué à 2.
[^] # Re: Les galeries de l'insécurité ?
Posté par santos . Évalué à 1.
Donc c'est normal que le front controller soit accessible depuis une autre machine.
Accessible publiquement depuis Internet par contre, je suis d'accord que ce n'est pas normal.
C'est un peu comme MySQL... par défaut, le serveur n'est accessible que depuis l'hôte local.
Mais généralement on ouvre son accès depuis n'importe quelle machine, et on contrôle les accès au niveau du pare-feu du réseau.
[^] # Re: Les galeries de l'insécurité ?
Posté par Moogle . Évalué à 5.
Le coup du frontend_dev accessible uniquement depuis localhost c'est récent je crois (1.2), là c'est un Symfony 1.0 qui est déployé. Pour ma part j'avais même pas remarqué que ça se faisait, je viens tout juste d'aller voir le bout de code qui le fait.
[^] # Re: Les galeries de l'insécurité ?
Posté par Rémi Laurent (site web personnel) . Évalué à 3.
http://fr2.lafayettelistes.com/
on peut (à priori) rien faire avec, mais c'est pas fort sérieux ... et il faut même pas chercher pour tomber dessus
# Va en justice
Posté par leoboy . Évalué à 2.
A cause d'eux, tu t'es introduit dans un système de données automatisé (certes, dans le but de comprendre d'où venait le problème) sans en avoir l'autorisation préalable.
Hé oui, cela s'appelle de l'incitation à commettre un délit, et c'est sévèrement puni en France.
Faut se couvrir. On est jamais assez trop prudent, de nos jours.
[^] # Re: Va en justice
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 2.
Si ça, c'est un délit, alors consulter quelque site web que ce soit en est un aussi. Allez hop, tous en prison.
[^] # Re: Va en justice
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 4.
[^] # Re: Va en justice
Posté par leoboy . Évalué à 6.
(Je fais juste un peu d'humour, c'est tout. Le prends pas mal !)
[^] # Re: Va en justice
Posté par santos . Évalué à 4.
Et pour le coup, n'importe quelle madame michu peut le faire, simplement avec son Firefox, en cliquant sur un lien.
Les gnutls et autres outils... vas-y expliquer au juge...
Il va voir une ligne de commande, il va paniquer et t'envoyer à Guantanamo, te prenant pour un dangereux pirate, comme ceux qu'on voit dans les films.
[^] # Re: Va en justice
Posté par Aldoo . Évalué à 5.
[^] # Re: Va en justice
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 1.
# Aucun problème de certificat
Posté par Olivier Serve (site web personnel) . Évalué à 3.
Oui, et ?
Les Autorités de Certification (AC) fonctionnent sur un principe hiérarchique. On a :
1. une AC racine forcément auto-signée (ici AddTrust External Root) ;
2. une sous-AC signée par l'AC racine (ici UTN - DATACorp SGC) ;
3. le certificat du site (fr2.lafayettelistes.com).
Il est parfaitement normal que le certificat de l'AC racine apparaisse auto-signé. C'est la définition même d'une AC racine. Ce n'est en aucun cas une erreur.
Le message d'openssl vient du fait que tu n'indique aucune liste de certificats de confiance (liste qui devrait contenir le certificat, comme Firefox le fait par exemple).
Beaucoup de bruit pour rien.
[^] # Re: Aucun problème de certificat
Posté par Olivier Serve (site web personnel) . Évalué à 2.
liste qui devrait contenir le certificat racine d'AddTrust
[^] # Re: Aucun problème de certificat
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 2.
[^] # Re: Aucun problème de certificat
Posté par Olivier Serve (site web personnel) . Évalué à 0.
[^] # Re: Aucun problème de certificat
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 3.
[^] # Re: Aucun problème de certificat
Posté par dguihal . Évalué à 1.
[^] # Re: Aucun problème de certificat
Posté par Olivier Serve (site web personnel) . Évalué à 2.
L'objectif de la cross-certification est double :
1. permettre la détection d'un spoofing d'AC ;
2. surtout, améliorer l'interopérabilité entre 2 domaines ayant chacun son AC. Avec la double-certification, pas besoin d'ajouter l'AC de l'autre domaine dans sa liste de confiance (puisque la chaîne va remonter jusqu'à "notre" AC).
# Problème réglé
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 3.
Un truc étrange, ceci dit :
% gnutls-cli --port 443 --insecure fr2.lafayettelistes.comResolving 'fr2.lafayettelistes.com'...
Connecting to '195.6.224.39:443'...
*** Fatal error: A TLS packet with unexpected length was received.
*** Handshake has failed
GNUTLS ERROR: A TLS packet with unexpected length was received.
[^] # Re: Problème réglé
Posté par nodens . Évalué à 2.
Cela dit je n'ai jamais bien compris pourquoi ;-)
# Le cas Virgin
Posté par Tonton Benoit . Évalué à 1.
Votre facture N° XXXXXXXXXXXXXX du 06/10/09 concernant votre ligne XXXXXXXXXX vient d'arriver dans votre Espace client, rubrique " Ma formule". Vous pouvez la consulter en cliquant ici.
Le montant de XX,XX euros sera prélevé à partir du 09/10/09
Votre facture est à l'abri des regards indiscrets: munissez-vous de votre numéro d'appel Virgin Mobile et de votre mot de passe, le XXXX , pour consulter vos factures, mais aussi pour suivre vos consommations, vos points VIP, modifier vos coordonnées, etc.... Bref, pour gérer votre compte en quelques clics.
Les infos de connections (n° de tel et mot de passe) sont tous précisés dans ce mail qui est bien sûr transmis en clair.
Avec ces infos on a accès au nom de l'abonné, son adresse, ses infos bancaires...
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.