Journal Que répondre à ça ?

Posté par  . Licence CC By‑SA.
Étiquettes :
-9
11
juin
2011

Bonjour,

aujourd'hui je vous adresse une des questions ésotérico-philosophiques dont le monde moderne nous assaille quotidiennement. Qu'en pensez vous ?

Bonjour
En ajoutant une exception, cela devrait passer, non ?
On 11/06/11 11:12, JP wrote:
> Une demande de renseignements envoyée par le site internet le 11-06-2011 :
>
> Nom : JP
> Email : JP@univ-ville.fr
> Sujet :Problème de certificat
> Message :Bonjour, il y a un problème de certificat pour accéder aux revues en
> ligne. Je ne peux le faire avec firefox, car le certificat est périmé ou
> invalide. Merci beaucoup.

Je précise que c'est tiré d'un cas réel. Les noms des personnes ont été volontairement flouté pour préserver leur anonymat sur internet. J'ai des principes comme vous le voyez.

  • # Lapin compris.

    Posté par  . Évalué à 6.

    T'as envoyé ça? T'as reçu ça? Tu nous expliques que les certificats en carton c'est mal? Ou que tu fais des certificats en carton et que tu défends ça?

    THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

    • [^] # Re: Lapin compris.

      Posté par  . Évalué à 5.

      Je dis que les certificats en carton c'est mal. Je suis l'auteur du premier mail et c'est le responsable de la BU en ligne qui me répond. Et oui, je dis que les certificats en carton c'est mal. c'est même très mal. Mais je ne sais pas comment le dire poliment au monsieur.

      Systemd, the bright side of linux, toward a better user experience and on the road to massive adoption of linux for the desktop.

      • [^] # Re: Lapin compris.

        Posté par  . Évalué à 7.

        Ça réponse est juste par ailleurs, en rajoutant une exception, ça devrait passer non ?

        En plus on te fera la même si tu demandes la même chose sur linuxfr.

        Je trouve ce problème de certificat particulièrement pénible, le pire étant que je ne sais même pas s'il faut incriminer firefox, les autorités certificatrices qui ont leur monopole, ou les sites s'autosignant.

        Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

        • [^] # Re: Lapin compris.

          Posté par  . Évalué à 3.

          le pire étant que je ne sais même pas s'il faut incriminer firefox, les autorités certificatrices qui ont leur monopole, ou les sites s'autosignant.

          Il faut incriminer les noob qui ne veulent pas réfléchir, ce qui fait qu'on est obligé de leur mettre un système tout compliqué et tout centralisé pour (tenter de) les empêcher de mettre leur numéro de CB n'importe où.

          Si les gens réfléchissaient, la gestion des certificats serait plus ouverte et plus souple, la banque pourrait (par exemple) communiquer par un moyen physique (idéalement, de la main à la main) la fingerprint de leur CA aux gens qui ouvrent un compte. Les gens feraient la vérification lors de la première connexion, et cocheraient une case "n'accepter ce CA que pour ce site". Et ils feraient pareil avec le certificat de LinuxFR ou les certificats auto-signés, ils réfléchiraient un peu et comprendraient et tout. Enfin bref, l'utopie.

          THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

          • [^] # Re: Lapin compris.

            Posté par  . Évalué à 1.

            Ça revient un peu au même que ce qui est fait avec les certificats auto-signés :) la première fois tu refuses ou tu ajoutes une exception et c'est tout.

            • [^] # Re: Lapin compris.

              Posté par  (site web personnel) . Évalué à 4.

              Le souci c’est que les navigateurs (firefox et chromium au moins) n’affichent pas ça comme un « à toi de faire le choix », mais « fais gaffe ! C’est ultra dangereux, n’accepte ce certificat que si tu es certain de pouvoir en subir les conséquences », ce qui n’a pas grand chose à voir (et puis cliquer sur 4 boutons, c’est super relou…)

              • [^] # Re: Lapin compris.

                Posté par  . Évalué à 3.

                Enfin en même temps ils ont raison de faire ça. A moin que tu connaisses une méthode pour différencier la CA que tout le monde utilise mais qu'ils n'ont pas intégré d'une CA pirate

                • [^] # Re: Lapin compris.

                  Posté par  (site web personnel) . Évalué à 3.

                  Il y a une signature il me semble, comme SSH non?
                  Donc, si je ne me trompe pas quelque part, pareil que pour SSH, faut récupérer la signature d'une manière ou d'une autre, ou valider le certificat quand on est sur un réseau de confiance? Je me trompe peut-être, mais j'ai l'impression que certificat auto-signé = clé SSH au niveau "sécurité", et qu'il faut dans les deux cas valider la chose sur un réseau de confiance puis ensuite c'est tranquille. Quelqu'un pour me confirmer ou corriger?

                  • [^] # Re: Lapin compris.

                    Posté par  . Évalué à 2.

                    C'est justement le boulot que les os/navigateurs/... font pour toi
                    mais une fois déployé sur les postes client, l'outil n'a plus moyen de faire automatiquement cette vérification, et comme ton navigateur connait les certificats permettant de valider 99% des sites web publiques, d'où le message à l'utilisateur

                    Dans le cas de ssh, d'une root ca ou de tout autre certificat autosigné, dans le meilleur des cas tu devrais vérifier manuellement le fingerprint à la première connection

                • [^] # Re: Lapin compris.

                  Posté par  (site web personnel) . Évalué à 6.

                  Bof. Moi je cherche le bouton « J’en n’ai rien à battre, affiche moi la page, chiffrée ou pas, j’m’en tape », mais pour l’instant, le seul truc c’est :
                  - Afficher la barre d’url et virer le « s » du début.
                  soit
                  - Cliquer sur 4 ou 5 liens moisis qui sont éparpillés un peu partout sur mon écran.

                  Et puis je préfère un connexion chiffrée qu’une connexion en clair, même si c’est potentiellement une connexion chiffrée vers un vilain pirate qui, coup de bol, fait un man-in-the-middle lors de ma PREMIÈRE connexion au site. Le gars il est chanceux, et comme c’est ma première connexion, il a pas grand chose de génial à me piquer. Pas plus qu’un mec qui chopperait mon trafic non-chiffré.

                  Et pour le faux sentiment de sécurité : ben que je sois serein ou pas, je vais balancer mon mot de passe de toute façon. Donc autant que ce soit limité à un seul « pirate », plutôt que de balancer ça en clair aux yeux de tout le monde.

          • [^] # Re: Lapin compris.

            Posté par  (site web personnel) . Évalué à -8.

            il cause de BU, donc d'une ssi (bien connue), non ?
            donc à priori il ne s'agit pas de noob.
            mais bon, certes (...)

            • [^] # Re: Lapin compris.

              Posté par  (site web personnel) . Évalué à 3.

              Bibliothèque Universitaire non ? Il utilise une adresse @univ-ville.fr avec un univ comme université.
              Donc a priori,…

              Commentaire sous licence LPRAB - http://sam.zoy.org/lprab/

        • [^] # Re: Lapin compris.

          Posté par  . Évalué à 10.

          sais même pas s'il faut incriminer firefox

          Entre autre car on a pas idée de mettre une page qui fait peur quand le certificat est autosigné ou alors non valide pour ce domaine (ce certificat n'est valable que pour site.com et non pour fr.site.com).

          Ce qui est terrible c'est que pour les gens ordinaires un certificat auto-signé va leur faire croire que le site est dangereux ou qu'on peut se faire pirater en allant dessus alors que si on ne chiffre rien : pas d'erreur et tout va bien, je rentre mon mot de passe et le navigateur est tout à fait d'accord (affichage tellement ordinaire qui me rassure).

          207829⁶+118453⁶=193896⁶+38790⁶+14308⁶+99043⁶+175539⁶

        • [^] # Re: Lapin compris.

          Posté par  (site web personnel) . Évalué à 5.

          En plus on te fera la même si tu demandes la même chose sur linuxfr.

          Si par « sur linuxfr » tu veux dire « à propos du certificat SSL/TLS du site LinuxFr.org », alors la question est différente : ce n'est pas certificat autosigné, il est signé par l'autorité CAcert en l'occurrence. Cf http://linuxfr.org/aide#aide-certificatssl et http://linuxfr.org/aide#aide-autrecertificatssl

          Si par « sur linuxfr » tu veux dire « réponse probable que tu risques d'obtenir des visiteurs du site », c'est bien possible malheureusement...

          • [^] # Re: Lapin compris.

            Posté par  . Évalué à 3.

            Quand je clique sur un lien sécurisé sur Linuxfr.org j'ai un bon gros message d'avertissement rouge vif de Chrome. A ce moment, pour ce que j'en sais, le certificat a aussi bien pu être signé par les auteurs du site que par une autorité inconnue de mon navigateur. Voire les deux en même temps.
            C'est là que vous pourriez me faire une réponse du type : avec une exception ça devrait passer.

            • [^] # Re: Lapin compris.

              Posté par  . Évalué à 3.

              Donc en gros, tu fais une confiance aveugle aux dirigeants de google.

              Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.

            • [^] # Re: Lapin compris.

              Posté par  . Évalué à 4.

              Si tu ne fais pas confiance à CaCert, le mieux c'est de ne pas visiter LinuxFr.org en https. Sinon, il vaut mieux l'ajouter comme autorité reconnue.

              « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

              • [^] # Re: Lapin compris.

                Posté par  (site web personnel) . Évalué à 8.

                Euh… là, on marche un peu sur la tête, je crois. Résumons le problème :

                1. J'aimerais bien, quand quelqu'un poste un lien HTTPS vers DLFP pouvoir le suivre sans avertissement à la noix, et en confiance.
                2. Je n'ai pas le temps, l'argent, ni la possibilité matérielle d'effectuer un audit de CAcert, ni d'aucune autre CA, donc je me repose sur les choix fait par des gens avec les moyens et des intérêts convergents (les éditeurs de navigateurs, qui ne veulent pas que leurs utilisateurs se fassent pwner par le prochain phish)
                3. Il y a cinq navigateurs dont la part de marché dépasse le niveau microscopique : MSIE, Firefox, Chrom(e|ium), Safari, et Opera. Aucun d'entre eux n'a jugé CAcert comme étant suffisamment crédible pour être intégré. Ce n'est pas une question d'intérêts économiques, au moins l'un d'entre eux étant communautaire (Firefox)

                Dans ces conditions, il ne me semble pas que faire prendre des risques aux utilisateurs en leur demandant de faire confiance à CAcert soit le mieux, ni le plus simple ; le plus simple, ce serait que linuxfr.org présente un certificat venant d'une autorité reconnue chez tous (ou alternativement, que CAcert se donne les moyens d'être une autorité reconnue par tous). Non ?

                Envoyé depuis mon PDP 11/70

                • [^] # Re: Lapin compris.

                  Posté par  . Évalué à 2.

                  J'aimerais bien, quand quelqu'un poste un lien HTTPS vers DLFP pouvoir le suivre sans avertissement à la noix, et en confiance.

                  Alors tu vire le s de https dans la barre d'adresse et le problème est résolu.

                  les éditeurs de navigateurs, qui ne veulent pas que leurs utilisateurs se fassent pwner par le prochain phis

                  Pourtant ça ne dérangeait pas MS d'avoir mis l'agence gouvernemental tunésienne alors que le gouvernement faisait visiblement un Man In the Middle.

                  Ce n'est pas une question d'intérêts économiques, au moins l'un d'entre eux étant communautaire (Firefox)

                  C'est autant un problème d'intérêt économique. Un audit d'une autorité, ça coûte cher et l'intérêt de l'ajouter n'est pas énorme. De plus si on a foiré son audit ou pour une autre raison, l'autorité fait n'importe quoi, la crédibilité du navigateur est ruinée.

                  À l'inverse, retirer une autorité, c'est quasiment impossible si elle un peu utilisée, tout le monde se plaindra que "Internet de marche plus" et les gens changeraient de navigateur. Et plus d'utilisateur, ça veut dire plus de revenu, quelque soit l'entité derrière le navigateur. Et ce n'est pas hypothétique, les autorités de certifications actuelles posent problème, voir les liens à la fin de http://linuxfr.org/aide#aide-certificatssl

                  « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

                  • [^] # Re: Lapin compris.

                    Posté par  (site web personnel) . Évalué à 5.

                    Alors tu vire le s de https dans la barre d'adresse et le problème est résolu.

                    Super. Devoir modifier à la main le lien comme réponse, on aura tout vu.

                    De plus si on a foiré son audit ou pour une autre raison, l'autorité fait n'importe quoi, la crédibilité du navigateur est ruinée.

                    Traduction : LinuxFr demande, pour qu'on n'ai pas le gros warning, qu'on mette un certificat racine dont personne ne veut prendre la peine de s'engager à ce que ce soit sécurisé, en gros qu'on ajoute une faille potentielle à nos risques et périls. Sympa. Certes, c'est un choix assumé des admins, mais après qu'on vienne pas critiquer les gens qui disent "En ajoutant une exception, cela devrait passer, non ?", parce que c'est exactement ce que propose LinuxFr (par ajout certes non pas du certificat de LinuxFr, mais celui de CACert dont personne ne s'engage à dire que c'est sécurisé).

                    Certes, il y a l'exemple de la Tunisie, mais ce sont les éditeurs qui doivent en assumer les conséquences, c'est mieux que ce qui est proposé (=personne ne se mouille pour CACert)?

                    • [^] # Re: Lapin compris.

                      Posté par  . Évalué à -1.

                      Super. Devoir modifier à la main le lien comme réponse, on aura tout vu.

                      Il y a des scripts Greasemonkey qui existait pour la version templeet.

                      "En ajoutant une exception, cela devrait passer, non ?", parce que c'est exactement ce que propose LinuxFr

                      Non, la proposition, c'est d'ajouter un certificat racine si tu fait confiance à CaCert, si tu ne fais pas confiance, il ne vaut mieux pas utilisé le SSL parce qu'il est inutile voir apporte un faux sentiment de sécurité. De plus, le site est totalement disponible en HTTP, tu n'accède à rien de plus avec le SSL.

                      Certes, il y a l'exemple de la Tunisie, mais ce sont les éditeurs qui doivent en assumer les conséquences, c'est mieux que ce qui est proposé (=personne ne se mouille pour CACert)?

                      C'est plus que la Tunisie http://www.zdnet.fr/actualites/des-certificats-ssl-frauduleux-de-comodo-autorisent-des-attaques-contre-les-webmails-39759360.htm http://linuxfr.org/news/verisign-d%C3%A9truit-lun-des-fondements-dinternet https://www.eff.org/observatory

                      « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

                      • [^] # Re: Lapin compris.

                        Posté par  (site web personnel) . Évalué à -1.

                        si tu ne fais pas confiance,

                        Je fais confiance à l'éditeur de mon navigateur. Celui-ci (comme les autres) estiment que CACert n'est pas digne de confiance.

                        il ne vaut mieux pas utilisé le SSL

                        Gni??? Rien à voir avec SSL, mais de en qui je fais confiance. Désolé, j'ai plus confiance dans les certificats dans mon navigateur qu'en un certificat racine dont les gestionnaires n'arrivent même pas à entrer dans un navigateur "communautaire" comme Firefox.

                        parce qu'il est inutile voir apporte un faux sentiment de sécurité

                        Non. Il apporte une sécurité.

                        De plus, le site est totalement disponible en HTTP, tu n'accède à rien de plus avec le SSL.

                        Rien à voir. Ce que tu viens de ma balancer, c'est que le site de ma banque est débile de me forcer à passer en HTTPS, car je n'accède à rien de plus avec le SSL, donc SSL est inutile. N’importe quoi. SSL ne sert pas à apporter du contenu en plus, merci, ça je sais.

                        C'est plus que la Tunisie

                        Oui, il y a des exemples, je sais. Mais ça ne veut pas dire que CACert est meilleur niveau sécurité. C'est n'importe quoi comme argument.

                        Ce que tu démontres, c'est qu'il y a des niveaux de confiance différent, merci je savais. Ce que j'essaye de te démontrer, c'est que LinuxFr fait exactement la même chose que ce qui est critiqué dans le journal (il demande d'ajouter une exception. Bon, il y a une petite différence quand même, la BU demande l'exception que pour elle même, LinuxFr dit de mettre une exception pour tous les certificats issus par CACert en qui peu de monde a confiance - Si je me souviens bien Debian le rajoute par défaut quand même. Qui est le pire niveau sécurité?)

                        • [^] # Re: Lapin compris.

                          Posté par  . Évalué à 4.

                          Gni??? Rien à voir avec SSL, mais de en qui je fais confiance.

                          Arrête de jouer sur les mots. Je parle de SSL avec LinuxFr.

                          Non. Il apporte une sécurité.

                          Comment apporte-t'il une sécurité, dans le cas de LinuxFr si tu ne fais pas confiance à l'autorité de certification?

                          Ce que tu viens de ma balancer, c'est que le site de ma banque est débile de me forcer à passer en HTTPS

                          Non, je dis qu'il est débile d'utiliser SSL sur LinuxFr parce que tu ne fais pas confiance à l'autorité de certification et qu'utilise SSL sur LinuxFr n'apporte rien de plus puisque tout le contenu est accessible sans SSL.

                          Mais ça ne veut pas dire que CACert est meilleur niveau sécurité. C'est n'importe quoi comme argument.

                          Pourquoi fais-tu confiance aux autorités de certification qui ont des problèmes reconnus mais pas à CaCert qui est la seule à avoir un fonctionnement ouvert?

                          LinuxFr dit de mettre une exception pour tous les certificats issus par CACert en qui peu de monde a confiance

                          Non, LinuxFr te dit de faire ce que tu veux. Soit tu reste en HTTP, soit tu ajoute une exception, soit tu ajoute le certificat de CaCert.

                          Qui est le pire niveau sécurité?

                          Ceux qui te force à utiliser le site en SSL alors que tu n'as pas confiance en l'autorité.

                          Mais tu es vraiment pénible de détourner le débat sur les banques pour me faire dire ce qui t'arrange alors que je parle uniquement de LinuxFr. J'espère que la mise en gras est suffisante pour que tu comprenne.

                          « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

                          • [^] # Re: Lapin compris.

                            Posté par  (site web personnel) . Évalué à 0.

                            Comment apporte-t'il une sécurité, dans le cas de LinuxFr si tu ne fais pas confiance à l'autorité de certification?

                            C'est bien la remarque! la BU ou LinuxFr, c'est la même demande : ajouter une exception.

                            Pourquoi fais-tu confiance aux autorités de certification qui ont des problèmes reconnus mais pas à CaCert qui est la seule à avoir un fonctionnement ouvert?

                            Je fais plus confiance aux organismes ayant passé une certification qu'aux organismes disant qu'il n'ont pas la sécurité suffisante pour passer la certification même chez Mozilla. Désolé d'avoir des niveau de confiance différent suivant les personnes qui acceptent de se soumettre à des audits.

                            Mais tu es vraiment pénible de détourner le débat sur les banques pour me faire dire ce qui t'arrange alors que je parle uniquement de LinuxFr.

                            Banque ou LinuxFr, c'est la même chose! le SSL n'apporte aucune information en plus dans les deux cas. ce n'est pas l'objectif de SSL. Tu es vraiment pénible (pour reprendre tes mots) de ne pas voir dans l'exemple que le SSL n'a jamais vocation à ajouter de l'information, mais faire autre chose (vie privée tout ça...). Tu me balances un "tu n'accède à rien de plus avec le SSL", oui et alors? Ce n'est pas le but de SSL, tu commences à me sortir un truc HS pour ne pas parler du problème...

                            J'espère que la mise en gras est suffisante pour que tu comprenne.

                            Gras ou pas, ça ne change pas que le but de SSL n'est pas d'ajouter de l'information.

                            • [^] # Re: Lapin compris.

                              Posté par  . Évalué à 4.

                              C'est bien la remarque! la BU ou LinuxFr, c'est la même demande : ajouter une exception.

                              Non, si tu ne fais pas confiance, il vaut mieux passer en HTTP. Le SSL est inutile si tu n'as pas confiance. Dans le cas de la BU, il n'est pas possible d'utiliser le HTTP.

                              Désolé d'avoir des niveau de confiance différent suivant les personnes qui acceptent de se soumettre à des audits.

                              Je t'explique mon argument, je ne te demande pas de faire confiance en CaCert.

                              Tu es vraiment pénible (pour reprendre tes mots) de ne pas voir dans l'exemple que le SSL n'a jamais vocation à ajouter de l'information

                              Je ne dit pas que SSL apporte plus d'information. Tu détourne encore une fois mes propos pour faire un hors-sujet. Je dis qu'il n'y a pas de contenu suplémentaire disponible uniquement en HTTPS et que si tu ne fais pas confiance à l'autorité de certification, ça ne t'apporte rien de naviguer en HTTPS et donc il vaut naviguer en HTTP dans ce cas.

                              Gras ou pas, ça ne change pas que le but de SSL n'est pas d'ajouter de l'information.

                              Que tu le répète ne change pas mes propos, ce n'est pas ce que j'ai dit.

                              « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

                            • [^] # Re: Lapin compris.

                              Posté par  . Évalué à 2.

                              aux organismes disant qu'il n'ont pas la sécurité suffisante pour passer la certification même chez Mozilla

                              Pourquoi ? Ils sont craignos niveau sécurité chez Mozilla ?

                              Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

                              • [^] # Re: Lapin compris.

                                Posté par  . Évalué à 7.

                                Dans l'esprit de Zenitram:
                                MoFo=Hippies, CaCERT=Hippies, donc automatiquement copains, et favoritisme.

                                Depending on the time of day, the French go either way.

                    • [^] # Re: Lapin compris.

                      Posté par  . Évalué à 6.

                      Traduction : LinuxFr demande, pour qu'on n'ai pas le gros warning, qu'on mette un certificat racine dont personne ne veut prendre la peine de s'engager à ce que ce soit sécurisé, en gros qu'on ajoute une faille potentielle à nos risques et périls.

                      LinuxFR propose (t'as la version HTTP) de faire confiance, pour se connecter à LinuxFR, à une CA que personne ne veut garantir.

                      Premièrement, ce n'est pas pire qu'une version HTTP.
                      Deuxièmement, tu n'es pas obligé de faire confiance à cette CA pour d'autres sites. Perso, si ma banque me propose du CaCert, je prends la fuite. Et si FDN me sort du Verisign, je prends aussi la fuite. Le problème, c'est que les navigateurs ne permettent pas de faire ce tri: ils sont tous conçus dans une approche où il y aurait des certificats fiables "pour tout" et d'autres certificats "fiables pour rien". Ce serait génial de pouvoir classer les sites et les certificats par domaine d'activité ("pas important", "militant-geek", "bancaire sérieux", "institutionnel"), de manière à lever une alerte si un site "pas important" (LinuxFR, où le seul risque est de se faire piquer son compte) se met à utiliser un certificat "institutionnel", ou l'inverse.

                      THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

                      • [^] # Re: Lapin compris.

                        Posté par  . Évalué à 7.

                        C'est pour ça que j'utilise CertPatrol (pour Firefox), qui alerte des changements divers du certificat (et il se fait discret quand le certificat a été renouvelé et que le CA ou d'autres détails n'ont pas changé).

                        DLFP >> PCInpact > Numerama >> LinuxFr.org

                • [^] # Re: Lapin compris.

                  Posté par  . Évalué à 9.

                  Le plus simple, ce serait que Firefox affiche un message d'avertissement aussi neutre et aussi intelligent que celui de Konqueror, et fasse le tri entre:

                  • Les gens prudents qui ne comprennent pas et, dans le doute, s'abstiennent et demandent "Pourquoi je ne peux pas suivre ton lien?",
                  • Les poneys du Web 2.0 qui disent "Ton lien ne marche pas" car ils pensent avoir tout compris et resteront ignorants,
                  • Les gens qui n'ont pas PEUR de réfléchir et qui apprennent ce qu'il faut pour comprendre les enjeux qu'il y a à accepter de se connecter à ce site et à faire confiance, temporairement ou de façon permanente, à ce certificat,
                  • Les geeks comme moi qui sont pas contents de pas pouvoir accepter CACert seulement pour DLFP et l'interface de gestion de leur FAI et n'accepter comme valide que le certificat attribué à https://ssl.facebook.com (numéro de série 0C:A2:9B:65:C9:C4:48:66:8B:0E:E1:1A:56:4E:9F:42) et pas un certificat que le gouvernement tunisien a utilisé pour pirater le compte Facebook des gens,
                  • Les clampins qui ne veulent apprendre ni la prudence, ni à lire le contrat qu'ils signent avec leur banque, ni à apprendre comment ça marche, qui vont cliquer sur "oui oui continue" sur la boîte de dialogue de Konqueror, et qui vont se faire pirater leur compte bancaire jusqu'à ce qu'ils arrêtent d'utiliser Internet ou qu'ils changent d'attitude.

                  P;S: Ce commentaire est volontairement truffé de liens SSL non reconnus par les navigateurs mainstream afin d'être dissuasif envers les poneys du Web et les clampins, ce qui évite qu'ils ne répondent.

                  THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

                • [^] # Re: Lapin compris.

                  Posté par  (site web personnel) . Évalué à 1.

                  Il y a cinq navigateurs dont la part de marché dépasse le niveau microscopique : MSIE, Firefox, Chrom(e|ium), Safari, et Opera. Aucun d'entre eux n'a jugé CAcert comme étant suffisamment crédible pour être intégré. Ce n'est pas une question d'intérêts économiques, au moins l'un d'entre eux étant communautaire (Firefox)

                  Il y a cinq navigateurs dont la part de marché dépasse le niveau microscopique
                  Et pourtant aucun d'eux n'a bougé pour Commodo

                  http://www.cnis-mag.com/comodo-pirate-1-c-a-compromis-c%E2%80%99est-un-hasard-2-c-a-c%E2%80%99est-des-barbouzes.html

                  http://www.journaldunet.com/solutions/securite/comodo-pirate-et-faux-certificats-ssl-0311.shtml

                  Aucun d'eux n'a réagit sur le faite qu'en accord avec Commodo certains hébergeurs fournissent des SSL Niveau 3 sans avoir respecté le protocole qui veut que l'identité soit vérifié en présence de la personne et non par fax etc ..

                  Tout le monde a droit à la sécurité et à la protection de leur vie privée, pas seulement ceux qui gèrent les sites de commerce électronique.

                  • [^] # Re: Lapin compris.

                    Posté par  (site web personnel) . Évalué à -3.

                    Il aurait fallu faire quoi? CACert propose une meilleure sécurité, garantie (une vraie, avec un audit, une pénalité en cas de problème etc...)?

                    Tu es prêt à engager ton fric pour préférer CACert au niveau sécurité? Tu proposes sinon?

                    • [^] # Re: Lapin compris.

                      Posté par  . Évalué à 4.

                      Ça t'arrive de lire ? Il n'a pas parlé de CACert, il dis juste que ta confiance aveugle en vers l'éditeur de ton navigateur devrait peut être être remise en cause.

                      Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

                      • [^] # Re: Lapin compris.

                        Posté par  (site web personnel) . Évalué à -1.

                        Et? J'ai parlé de CACert comme potentiel remplaçant pour Commodo par exemple.

                        Bon, OK, faisons pas du tout confiance dans les certificats. Même question : vous proposez quoi de mieux?

                        Ca critique, ça critique, mais rien de mieux à proposer...

                        ta confiance aveugle

                        Ca t'arrive de lire? (je ne fais que reprendre ta façon de parler)
                        Je n'ai pas dit que j'avais une confiance aveugle en mon navigateur. J'ai une "non confiance" la "moins pire" avec mon navigateur. Tu as peut-être plus confiance en CACert (pour le certificat LinuxFr) ou autre solution (non mentionnée), pas moi, oui, c'est comme ça, mais je regarde l'existant, pas une solution qui n'existe pas.

                        Maintenant, je suis curieux de savoir en quoi toi tu as confiance (pas aveugle, juste plus confiance que les certificats dans ton navigateur) pour me coucher moins bête ce soir...

      • [^] # Re: Lapin compris.

        Posté par  (site web personnel, Mastodon) . Évalué à 8.

        ça dépend de l'usage qu'on veut en faire. Si le but d'utiliser https est d'éviter qu'un mot de passe soit transmis en clair sur le réseau, alors, un certificat en carton est tout à fait valable. Si on veut être certain de l'identité en face, alors, effectivement, un certificat doit être valide.

        Mes livres CC By-SA : https://ploum.net/livres.html

        • [^] # Re: Lapin compris.

          Posté par  . Évalué à 2.

          Oui, le certificat auto-signé apporte une garantie contre un observateur qui regarde le flux mais ne peut pas faire de MITM.

          Par contre, si quelqu'un fait un MITM, un certificat auto-signé ne lui pose comme seule contrainte que d'être là lors de la première découverte du certificat.

          THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

          • [^] # Re: Lapin compris.

            Posté par  (site web personnel) . Évalué à 8.

            En fait, la BU aurait dû lui répondre :

            Nous utilisons un certificat auto-signé à cause du manque de moyens attribués à l'université.
            Je comprends tout à fait votre refus d'accepter un tel certificat auto-signé. Je vous invite à passer nous voir pour que nous puissions vous transmettre de visu l'empreinte de notre certificat, que vous pourrez ensuite importer dans votre base d'autorités de confiance.

            Et « un certificat en carton » ne veut pas dire grand chose. Le certificat est-il « juste » auto-signé, ou est-ce une vraie erreur : adresse ne correspondant pas au sujet du certificat, certificat expiré, certificat signé par une autorité qui n'est pas de confiance, etc.

            • [^] # Re: Lapin compris.

              Posté par  (site web personnel) . Évalué à 5.

              à cause du manque de moyens attribués à l'université.

              0€, c'est trop cher?
              http://www.startssl.com/?app=1

              Qu'on ne souhaite pas rentrer dans le moule pour raison politique (version LinuxFr), OK, mais l'excuse du manque de moyens, c'est euh... Bof. Pas besoin d'un certificat avec nom de la BU affiché tout ça non plus.

              • [^] # Re: Lapin compris.

                Posté par  . Évalué à 4.

                Il y a effectivement écrit "FREE" en grosses lettres clignotantes
                sur la page d'accueil [...] ce qui est suffisant pour rendre méfiant
                n'importe quel organisme vivant plus évolué que le zooplancton.
                -+- SB in:Guide du Cabaliste Usenet- Bien configurer son neurone -+-

                • [^] # Re: Lapin compris.

                  Posté par  (site web personnel) . Évalué à 2.

                  Bien configurer son neurone -+-

                  Je ne te le fait pas dire...

                  Ca sert à se faire un nom pour vendre des trucs plus évolués un jour quand tu en auras besoin. Le SSL de base, avec peu de vérifications, juste pour ne pas avoir l'alerte de sécurité, c'est la seule chose gratuite, et si tu n'as pas besoin de plus, ça reste gratuit. (et chez OVH, c'est 15€/an http://www.ovh.com/fr/produits/ssl_standard.xml , ça va pas la mort non plus)

                  • [^] # Re: Lapin compris.

                    Posté par  . Évalué à 3.

                    Le SSL de base, avec peu de vérifications, juste pour ne pas avoir l'alerte de sécurité,

                    C'est pas un peu contradictoire tout ça ?
                    S'il suffit de peu de vérifications pour éviter aux utilisateurs l'alerte de sécurité, alors comment peux-tu accorder tant d'importance au fait que le certificat racine ait été validé par l'éditeur du brouteur ? Alors même que certaines de ces autorités émettent des certificats avec peu de vérifications ?

                    • [^] # Re: Lapin compris.

                      Posté par  (site web personnel) . Évalué à 1.

                      C'est pas un peu contradictoire tout ça ?

                      L'objectif est d'avoir le plus confiance (et non pas une confiance aveugle) que le serveur que veux joindre soit celui qui réponde. Après, oui, j'ai choisi de déléguer la gestion de cette sécurité à mon OS ou mon navigateur, meilleur rapport sécurité/emmerdes. Je le laisse décider si on peut avoir confiance ou pas dans l'organisme. Et pour le moment ça marche pas trop mal, il y a des couacs oui mais ça pourrait être pire.

                      C'est un choix, oui. On peut choisir une autre choix, oui. Ce que je constate c'est que les vérifications faites par StartSSL sont plus dignes de confiance que ceux de CACert, du point de vue des navigateurs majoritaires (y compris un navigateur qui se veut communautaire, donc qui ne doit pas sélectionner en fonction du fric sur la table).

                      Désolé, j'ai plus confiance en Mozilla (par exemple) qu'en des gus sortis de nul part qui me disent que CACert c'est bien, et du coup LinuxFr ou la BU, même résultat : impossible d'avoir une chaîne de confiance minimale (si encore l'accès aux certificats racines étaient disponibles par un accès sécurisé avec un certificat dans la chaine de confiance par défaut, ça permettrait de récupérer le certificat en toute confiance et hop la chaîne n'est pas rompue, mais non, c'est "auto-signé", donc un MITM se fait sans problème). Donc bon, pour critiquer la BU, faut aussi critiquer LinuxFr, car c'est le même résultat au niveau confiance. Bizarre on rigole sur la BU mais pas LinuxFr...

            • [^] # Re: Lapin compris.

              Posté par  (site web personnel) . Évalué à 1.

              Il faut absolument que cette personne prenne contact avec les responsables informatiques de son université. Les Universités, via Renater, ont accès à des certificats signés par des autorités reconnues partout : http://www.renater.fr/spip.php?rubrique275

        • [^] # Re: Lapin compris.

          Posté par  (site web personnel) . Évalué à 1.

          Donc avec un certificat en carton, on est sûr que notre mot de passe ne pourra pas être lu par quelqu'un d'autre que celui qui envoi le certificat, mais on ne peut s'assurer de l'identité de la personne qui reçoit le mot de passe.

          Dans le cas d'un mot de passe, c'est un secret partagé entre l'utilisateur et le site. Quand on le communique, l'objectif est qu'il ne soit intercepté par personne d'autre que le site, donc il faut s'assurer d'[au moins] 2 conditions :

          • que personne ne va pouvoir voir le mot de passe pendant la transmission (chiffrement)
          • que la personne avec qui on communique est bien la bonne (authentification)

          Avec un certificat en carton, on a juste le premier point. Donc dans le cadre de la transmission d'un mot de passe, le certificat en carton n'est pas suffisant.

          Je ne connais pas d'ailleurs de cas d'utilisation où seul le chiffrement est utile, et l'on se moque de savoir à qui on envoi les données. Mais éclairez moi, je suis curieux d'en connaître un !

          • [^] # Re: Lapin compris.

            Posté par  . Évalué à 2.

            • que personne ne va pouvoir voir le mot de passe pendant la transmission (chiffrement)

            Ce n'est même pas assuré, si c'est le certificat d'un proxy entre toi et le site. Ce sera chiffré entre le proxy et toi mais rien ne garanti que ce sera chiffré entre le proxy et le site.

            « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

          • [^] # Re: Lapin compris.

            Posté par  . Évalué à 6.

            Je ne connais pas d'ailleurs de cas d'utilisation où seul le chiffrement est utile, et l'on se moque de savoir à qui on envoi les données. Mais éclairez moi, je suis curieux d'en connaître un !

            Quand je vais voir un site avec des photos de petits chats : je ne me connecte pas mais je regarde seulement les photos, si c'est chiffré c'est quand même mieux (mon patron ne saura pas quelles photos j'ai vu).

            Si je reçois les photos des chats c'est bien, si c'est à un autre site que je parle (OMG un faux certificat !) bien c'est pas très important sauf qu'ils sauront quelles photos de chat j'ai vu.

            207829⁶+118453⁶=193896⁶+38790⁶+14308⁶+99043⁶+175539⁶

      • [^] # Re: Lapin compris.

        Posté par  (site web personnel) . Évalué à -3.

        ben tu lui dis poliment qu'il ne s'agit pas là du process interne au groupe.
        qu'un site "interne", administré par une branche du groupe, doit être relié à l'authentification de la maison, et que chaque collaborateur doit utiliser sa token pour cela.

        et si tu veux pas te mouiller, tu lui dis rien. et tu fais passer l'information (non respect des procédures) à qui de droit. c'est habituel dans cette maison de faire un grand sourire par devant et de donner un grand coup de couteau par derrière.

        hop, je ->

  • # Facile

    Posté par  . Évalué à 10.

    "Le top posting, c'est mal."

    Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.

  • # Que répondre à ça ?

    Posté par  . Évalué à 9.

    "Bonjour, pouvez vous transférer mon email à un informaticien compétent ?"

  • # c est naze comme reponse

    Posté par  . Évalué à -3.

    Surtout que maintenant avec startcom tu peux avoir un certificat gratuit.

  • # Ce que j'en pense.

    Posté par  . Évalué à 10.

    Tu dis "Je ne peux le faire avec firefox". Ton interlocuteur t'expliques que tu te trompes et t'indiques comment le faire.

    Tu aurais du écrire "Je peux accéder au site en ajoutant une exception de sécurité cependant je refuse de le faire." De cette façon ton interlocuteur aurait pu t'ignorer et vous auriez tout les deux gagné du temps.

    • [^] # Re: Ce que j'en pense.

      Posté par  . Évalué à 10.

      vous auriez tout les deux gagné du temps

      et nous aussi par la même occasion :)

      Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

      • [^] # Re: Ce que j'en pense.

        Posté par  . Évalué à 7.

        vous auriez tout les deux gagné du temps

        et nous aussi par la même occasion :)

        J'irais même plus loin. Avant de poster sur linuxfr,:

        Déjà, es tu sûr de t'adresser à la bonne personne ? C'est bien une personne du CRI (service info) de ton université ? Pas une personne de la BU qui n'en a que faire et ne connait sans doute pas les problématiques ?

        Ensuite, tu pourrais sans doute préciser si c'est un service critique avec demande de MDP etc, ou un service annexe sur lequel on ne te demande pas de te loguer. La plupart des universités utilisent CAS et ont (je suppose et l'espere) des certificats corrects.

        En effet, plutôt que de te moquer publiquement de ton interlocuteur, il serait de bonne augure que tu reflechisse un temps soit peu aux problématiques. La plupart des universités c'est plusieurs (dizaines de) milliers d'utilisateurs, des centaines de postes, des centaines de services à droite à gauche, parfois montés en autarcie, parfois extrement critiques (mails, ldap, réseau..).

        Il arrive que des réseaux soient mal gérés, mais c'est quand même relativement rares, d'autant plus quand la structure est grosse. Par contre, il arrive aussi qu'au milieu des milliers d'utilisateurs , il y ai un relou qui vient de découvrir SSL et qui ne comprenne pas que les gens aient mieux à faire que de mettre à jour le cert SSL du truc monté dans un coin par des non informaticiens et utilisé par 10 personnes.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.