Bonjour,
aujourd'hui je vous adresse une des questions ésotérico-philosophiques dont le monde moderne nous assaille quotidiennement. Qu'en pensez vous ?
Bonjour
En ajoutant une exception, cela devrait passer, non ?
On 11/06/11 11:12, JP wrote:
> Une demande de renseignements envoyée par le site internet le 11-06-2011 :
>
> Nom : JP
> Email : JP@univ-ville.fr
> Sujet :Problème de certificat
> Message :Bonjour, il y a un problème de certificat pour accéder aux revues en
> ligne. Je ne peux le faire avec firefox, car le certificat est périmé ou
> invalide. Merci beaucoup.
Je précise que c'est tiré d'un cas réel. Les noms des personnes ont été volontairement flouté pour préserver leur anonymat sur internet. J'ai des principes comme vous le voyez.
# Lapin compris.
Posté par Grunt . Évalué à 6.
T'as envoyé ça? T'as reçu ça? Tu nous expliques que les certificats en carton c'est mal? Ou que tu fais des certificats en carton et que tu défends ça?
THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.
[^] # Re: Lapin compris.
Posté par dave . Évalué à 5.
Je dis que les certificats en carton c'est mal. Je suis l'auteur du premier mail et c'est le responsable de la BU en ligne qui me répond. Et oui, je dis que les certificats en carton c'est mal. c'est même très mal. Mais je ne sais pas comment le dire poliment au monsieur.
Systemd, the bright side of linux, toward a better user experience and on the road to massive adoption of linux for the desktop.
[^] # Re: Lapin compris.
Posté par B16F4RV4RD1N . Évalué à 7.
Ça réponse est juste par ailleurs, en rajoutant une exception, ça devrait passer non ?
En plus on te fera la même si tu demandes la même chose sur linuxfr.
Je trouve ce problème de certificat particulièrement pénible, le pire étant que je ne sais même pas s'il faut incriminer firefox, les autorités certificatrices qui ont leur monopole, ou les sites s'autosignant.
Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it
[^] # Re: Lapin compris.
Posté par Grunt . Évalué à 3.
Il faut incriminer les noob qui ne veulent pas réfléchir, ce qui fait qu'on est obligé de leur mettre un système tout compliqué et tout centralisé pour (tenter de) les empêcher de mettre leur numéro de CB n'importe où.
Si les gens réfléchissaient, la gestion des certificats serait plus ouverte et plus souple, la banque pourrait (par exemple) communiquer par un moyen physique (idéalement, de la main à la main) la fingerprint de leur CA aux gens qui ouvrent un compte. Les gens feraient la vérification lors de la première connexion, et cocheraient une case "n'accepter ce CA que pour ce site". Et ils feraient pareil avec le certificat de LinuxFR ou les certificats auto-signés, ils réfléchiraient un peu et comprendraient et tout. Enfin bref, l'utopie.
THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.
[^] # Re: Lapin compris.
Posté par __o . Évalué à 1.
Ça revient un peu au même que ce qui est fait avec les certificats auto-signés :) la première fois tu refuses ou tu ajoutes une exception et c'est tout.
[^] # Re: Lapin compris.
Posté par louiz’ (site web personnel) . Évalué à 4.
Le souci c’est que les navigateurs (firefox et chromium au moins) n’affichent pas ça comme un « à toi de faire le choix », mais « fais gaffe ! C’est ultra dangereux, n’accepte ce certificat que si tu es certain de pouvoir en subir les conséquences », ce qui n’a pas grand chose à voir (et puis cliquer sur 4 boutons, c’est super relou…)
[^] # Re: Lapin compris.
Posté par Alex . Évalué à 3.
Enfin en même temps ils ont raison de faire ça. A moin que tu connaisses une méthode pour différencier la CA que tout le monde utilise mais qu'ils n'ont pas intégré d'une CA pirate
[^] # Re: Lapin compris.
Posté par Zenitram (site web personnel) . Évalué à 3.
Il y a une signature il me semble, comme SSH non?
Donc, si je ne me trompe pas quelque part, pareil que pour SSH, faut récupérer la signature d'une manière ou d'une autre, ou valider le certificat quand on est sur un réseau de confiance? Je me trompe peut-être, mais j'ai l'impression que certificat auto-signé = clé SSH au niveau "sécurité", et qu'il faut dans les deux cas valider la chose sur un réseau de confiance puis ensuite c'est tranquille. Quelqu'un pour me confirmer ou corriger?
[^] # Re: Lapin compris.
Posté par Alex . Évalué à 2.
C'est justement le boulot que les os/navigateurs/... font pour toi
mais une fois déployé sur les postes client, l'outil n'a plus moyen de faire automatiquement cette vérification, et comme ton navigateur connait les certificats permettant de valider 99% des sites web publiques, d'où le message à l'utilisateur
Dans le cas de ssh, d'une root ca ou de tout autre certificat autosigné, dans le meilleur des cas tu devrais vérifier manuellement le fingerprint à la première connection
[^] # Re: Lapin compris.
Posté par louiz’ (site web personnel) . Évalué à 6.
Bof. Moi je cherche le bouton « J’en n’ai rien à battre, affiche moi la page, chiffrée ou pas, j’m’en tape », mais pour l’instant, le seul truc c’est :
- Afficher la barre d’url et virer le « s » du début.
soit
- Cliquer sur 4 ou 5 liens moisis qui sont éparpillés un peu partout sur mon écran.
Et puis je préfère un connexion chiffrée qu’une connexion en clair, même si c’est potentiellement une connexion chiffrée vers un vilain pirate qui, coup de bol, fait un man-in-the-middle lors de ma PREMIÈRE connexion au site. Le gars il est chanceux, et comme c’est ma première connexion, il a pas grand chose de génial à me piquer. Pas plus qu’un mec qui chopperait mon trafic non-chiffré.
Et pour le faux sentiment de sécurité : ben que je sois serein ou pas, je vais balancer mon mot de passe de toute façon. Donc autant que ce soit limité à un seul « pirate », plutôt que de balancer ça en clair aux yeux de tout le monde.
[^] # Re: Lapin compris.
Posté par bubar🦥 (Mastodon) . Évalué à -8.
il cause de BU, donc d'une ssi (bien connue), non ?
donc à priori il ne s'agit pas de noob.
mais bon, certes (...)
[^] # Re: Lapin compris.
Posté par Zarmakuizz (site web personnel) . Évalué à 3.
Bibliothèque Universitaire non ? Il utilise une adresse @univ-ville.fr avec un univ comme université.
Donc a priori,…
Commentaire sous licence LPRAB - http://sam.zoy.org/lprab/
[^] # Re: Lapin compris.
Posté par ᴼ ᴹᴬᴺᴺ . Évalué à 10.
Entre autre car on a pas idée de mettre une page qui fait peur quand le certificat est autosigné ou alors non valide pour ce domaine (ce certificat n'est valable que pour site.com et non pour fr.site.com).
Ce qui est terrible c'est que pour les gens ordinaires un certificat auto-signé va leur faire croire que le site est dangereux ou qu'on peut se faire pirater en allant dessus alors que si on ne chiffre rien : pas d'erreur et tout va bien, je rentre mon mot de passe et le navigateur est tout à fait d'accord (affichage tellement ordinaire qui me rassure).
207829⁶+118453⁶=193896⁶+38790⁶+14308⁶+99043⁶+175539⁶
[^] # Re: Lapin compris.
Posté par Benoît Sibaud (site web personnel) . Évalué à 5.
Si par « sur linuxfr » tu veux dire « à propos du certificat SSL/TLS du site LinuxFr.org », alors la question est différente : ce n'est pas certificat autosigné, il est signé par l'autorité CAcert en l'occurrence. Cf http://linuxfr.org/aide#aide-certificatssl et http://linuxfr.org/aide#aide-autrecertificatssl
Si par « sur linuxfr » tu veux dire « réponse probable que tu risques d'obtenir des visiteurs du site », c'est bien possible malheureusement...
[^] # Re: Lapin compris.
Posté par Calvin0c7 . Évalué à 3.
Quand je clique sur un lien sécurisé sur Linuxfr.org j'ai un bon gros message d'avertissement rouge vif de Chrome. A ce moment, pour ce que j'en sais, le certificat a aussi bien pu être signé par les auteurs du site que par une autorité inconnue de mon navigateur. Voire les deux en même temps.
C'est là que vous pourriez me faire une réponse du type : avec une exception ça devrait passer.
[^] # Re: Lapin compris.
Posté par 2PetitsVerres . Évalué à 3.
Donc en gros, tu fais une confiance aveugle aux dirigeants de google.
Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.
[^] # Re: Lapin compris.
Posté par claudex . Évalué à 4.
Si tu ne fais pas confiance à CaCert, le mieux c'est de ne pas visiter LinuxFr.org en https. Sinon, il vaut mieux l'ajouter comme autorité reconnue.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Lapin compris.
Posté par William Steve Applegate (site web personnel) . Évalué à 8.
Euh… là, on marche un peu sur la tête, je crois. Résumons le problème :
Dans ces conditions, il ne me semble pas que faire prendre des risques aux utilisateurs en leur demandant de faire confiance à CAcert soit le mieux, ni le plus simple ; le plus simple, ce serait que linuxfr.org présente un certificat venant d'une autorité reconnue chez tous (ou alternativement, que CAcert se donne les moyens d'être une autorité reconnue par tous). Non ?
Envoyé depuis mon PDP 11/70
[^] # Re: Lapin compris.
Posté par claudex . Évalué à 2.
Alors tu vire le s de https dans la barre d'adresse et le problème est résolu.
Pourtant ça ne dérangeait pas MS d'avoir mis l'agence gouvernemental tunésienne alors que le gouvernement faisait visiblement un Man In the Middle.
C'est autant un problème d'intérêt économique. Un audit d'une autorité, ça coûte cher et l'intérêt de l'ajouter n'est pas énorme. De plus si on a foiré son audit ou pour une autre raison, l'autorité fait n'importe quoi, la crédibilité du navigateur est ruinée.
À l'inverse, retirer une autorité, c'est quasiment impossible si elle un peu utilisée, tout le monde se plaindra que "Internet de marche plus" et les gens changeraient de navigateur. Et plus d'utilisateur, ça veut dire plus de revenu, quelque soit l'entité derrière le navigateur. Et ce n'est pas hypothétique, les autorités de certifications actuelles posent problème, voir les liens à la fin de http://linuxfr.org/aide#aide-certificatssl
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Lapin compris.
Posté par Zenitram (site web personnel) . Évalué à 5.
Super. Devoir modifier à la main le lien comme réponse, on aura tout vu.
Traduction : LinuxFr demande, pour qu'on n'ai pas le gros warning, qu'on mette un certificat racine dont personne ne veut prendre la peine de s'engager à ce que ce soit sécurisé, en gros qu'on ajoute une faille potentielle à nos risques et périls. Sympa. Certes, c'est un choix assumé des admins, mais après qu'on vienne pas critiquer les gens qui disent "En ajoutant une exception, cela devrait passer, non ?", parce que c'est exactement ce que propose LinuxFr (par ajout certes non pas du certificat de LinuxFr, mais celui de CACert dont personne ne s'engage à dire que c'est sécurisé).
Certes, il y a l'exemple de la Tunisie, mais ce sont les éditeurs qui doivent en assumer les conséquences, c'est mieux que ce qui est proposé (=personne ne se mouille pour CACert)?
[^] # Re: Lapin compris.
Posté par claudex . Évalué à -1.
Il y a des scripts Greasemonkey qui existait pour la version templeet.
Non, la proposition, c'est d'ajouter un certificat racine si tu fait confiance à CaCert, si tu ne fais pas confiance, il ne vaut mieux pas utilisé le SSL parce qu'il est inutile voir apporte un faux sentiment de sécurité. De plus, le site est totalement disponible en HTTP, tu n'accède à rien de plus avec le SSL.
C'est plus que la Tunisie http://www.zdnet.fr/actualites/des-certificats-ssl-frauduleux-de-comodo-autorisent-des-attaques-contre-les-webmails-39759360.htm http://linuxfr.org/news/verisign-d%C3%A9truit-lun-des-fondements-dinternet https://www.eff.org/observatory
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Lapin compris.
Posté par Zenitram (site web personnel) . Évalué à -1.
Je fais confiance à l'éditeur de mon navigateur. Celui-ci (comme les autres) estiment que CACert n'est pas digne de confiance.
Gni??? Rien à voir avec SSL, mais de en qui je fais confiance. Désolé, j'ai plus confiance dans les certificats dans mon navigateur qu'en un certificat racine dont les gestionnaires n'arrivent même pas à entrer dans un navigateur "communautaire" comme Firefox.
Non. Il apporte une sécurité.
Rien à voir. Ce que tu viens de ma balancer, c'est que le site de ma banque est débile de me forcer à passer en HTTPS, car je n'accède à rien de plus avec le SSL, donc SSL est inutile. N’importe quoi. SSL ne sert pas à apporter du contenu en plus, merci, ça je sais.
Oui, il y a des exemples, je sais. Mais ça ne veut pas dire que CACert est meilleur niveau sécurité. C'est n'importe quoi comme argument.
Ce que tu démontres, c'est qu'il y a des niveaux de confiance différent, merci je savais. Ce que j'essaye de te démontrer, c'est que LinuxFr fait exactement la même chose que ce qui est critiqué dans le journal (il demande d'ajouter une exception. Bon, il y a une petite différence quand même, la BU demande l'exception que pour elle même, LinuxFr dit de mettre une exception pour tous les certificats issus par CACert en qui peu de monde a confiance - Si je me souviens bien Debian le rajoute par défaut quand même. Qui est le pire niveau sécurité?)
[^] # Re: Lapin compris.
Posté par claudex . Évalué à 4.
Arrête de jouer sur les mots. Je parle de SSL avec LinuxFr.
Comment apporte-t'il une sécurité, dans le cas de LinuxFr si tu ne fais pas confiance à l'autorité de certification?
Non, je dis qu'il est débile d'utiliser SSL sur LinuxFr parce que tu ne fais pas confiance à l'autorité de certification et qu'utilise SSL sur LinuxFr n'apporte rien de plus puisque tout le contenu est accessible sans SSL.
Pourquoi fais-tu confiance aux autorités de certification qui ont des problèmes reconnus mais pas à CaCert qui est la seule à avoir un fonctionnement ouvert?
Non, LinuxFr te dit de faire ce que tu veux. Soit tu reste en HTTP, soit tu ajoute une exception, soit tu ajoute le certificat de CaCert.
Ceux qui te force à utiliser le site en SSL alors que tu n'as pas confiance en l'autorité.
Mais tu es vraiment pénible de détourner le débat sur les banques pour me faire dire ce qui t'arrange alors que je parle uniquement de LinuxFr. J'espère que la mise en gras est suffisante pour que tu comprenne.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Lapin compris.
Posté par Zenitram (site web personnel) . Évalué à 0.
C'est bien la remarque! la BU ou LinuxFr, c'est la même demande : ajouter une exception.
Je fais plus confiance aux organismes ayant passé une certification qu'aux organismes disant qu'il n'ont pas la sécurité suffisante pour passer la certification même chez Mozilla. Désolé d'avoir des niveau de confiance différent suivant les personnes qui acceptent de se soumettre à des audits.
Banque ou LinuxFr, c'est la même chose! le SSL n'apporte aucune information en plus dans les deux cas. ce n'est pas l'objectif de SSL. Tu es vraiment pénible (pour reprendre tes mots) de ne pas voir dans l'exemple que le SSL n'a jamais vocation à ajouter de l'information, mais faire autre chose (vie privée tout ça...). Tu me balances un "tu n'accède à rien de plus avec le SSL", oui et alors? Ce n'est pas le but de SSL, tu commences à me sortir un truc HS pour ne pas parler du problème...
Gras ou pas, ça ne change pas que le but de SSL n'est pas d'ajouter de l'information.
[^] # Re: Lapin compris.
Posté par claudex . Évalué à 4.
Non, si tu ne fais pas confiance, il vaut mieux passer en HTTP. Le SSL est inutile si tu n'as pas confiance. Dans le cas de la BU, il n'est pas possible d'utiliser le HTTP.
Je t'explique mon argument, je ne te demande pas de faire confiance en CaCert.
Je ne dit pas que SSL apporte plus d'information. Tu détourne encore une fois mes propos pour faire un hors-sujet. Je dis qu'il n'y a pas de contenu suplémentaire disponible uniquement en HTTPS et que si tu ne fais pas confiance à l'autorité de certification, ça ne t'apporte rien de naviguer en HTTPS et donc il vaut naviguer en HTTP dans ce cas.
Que tu le répète ne change pas mes propos, ce n'est pas ce que j'ai dit.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Lapin compris.
Posté par barmic . Évalué à 2.
Pourquoi ? Ils sont craignos niveau sécurité chez Mozilla ?
Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)
[^] # Re: Lapin compris.
Posté par Frank-N-Furter . Évalué à 7.
Dans l'esprit de Zenitram:
MoFo=Hippies, CaCERT=Hippies, donc automatiquement copains, et favoritisme.
Depending on the time of day, the French go either way.
[^] # Re: Lapin compris.
Posté par Grunt . Évalué à 6.
LinuxFR propose (t'as la version HTTP) de faire confiance, pour se connecter à LinuxFR, à une CA que personne ne veut garantir.
Premièrement, ce n'est pas pire qu'une version HTTP.
Deuxièmement, tu n'es pas obligé de faire confiance à cette CA pour d'autres sites. Perso, si ma banque me propose du CaCert, je prends la fuite. Et si FDN me sort du Verisign, je prends aussi la fuite. Le problème, c'est que les navigateurs ne permettent pas de faire ce tri: ils sont tous conçus dans une approche où il y aurait des certificats fiables "pour tout" et d'autres certificats "fiables pour rien". Ce serait génial de pouvoir classer les sites et les certificats par domaine d'activité ("pas important", "militant-geek", "bancaire sérieux", "institutionnel"), de manière à lever une alerte si un site "pas important" (LinuxFR, où le seul risque est de se faire piquer son compte) se met à utiliser un certificat "institutionnel", ou l'inverse.
THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.
[^] # Re: Lapin compris.
Posté par DLFP est mort . Évalué à 7.
C'est pour ça que j'utilise CertPatrol (pour Firefox), qui alerte des changements divers du certificat (et il se fait discret quand le certificat a été renouvelé et que le CA ou d'autres détails n'ont pas changé).
DLFP >> PCInpact > Numerama >> LinuxFr.org
[^] # Re: Lapin compris.
Posté par Grunt . Évalué à 9.
Le plus simple, ce serait que Firefox affiche un message d'avertissement aussi neutre et aussi intelligent que celui de Konqueror, et fasse le tri entre:
P;S: Ce commentaire est volontairement truffé de liens SSL non reconnus par les navigateurs mainstream afin d'être dissuasif envers les poneys du Web et les clampins, ce qui évite qu'ils ne répondent.
THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.
[^] # Re: Lapin compris.
Posté par DLFP est mort . Évalué à 8.
Vu que je viens de passer 5 minutes à trouver la bonne adresse, je la partage : http://bragon.info/archives/index.php?2008/03/08/08/55/31-les-poneys-du-web-sont-partout-
DLFP >> PCInpact > Numerama >> LinuxFr.org
[^] # Re: Lapin compris.
Posté par louiz’ (site web personnel) . Évalué à 0.
Euh, c’est pas la même mais sans le s ?
[^] # Re: Lapin compris.
Posté par DLFP est mort . Évalué à 2.
Non, le domaine est différent, les anciens articles ont été archivés.
Mais du coup, j'ai perdu le 's', les poneys du web vont arriver à y accéder :(
DLFP >> PCInpact > Numerama >> LinuxFr.org
[^] # Re: Lapin compris.
Posté par X509 (site web personnel) . Évalué à 1.
Il y a cinq navigateurs dont la part de marché dépasse le niveau microscopique
Et pourtant aucun d'eux n'a bougé pour Commodo
http://www.cnis-mag.com/comodo-pirate-1-c-a-compromis-c%E2%80%99est-un-hasard-2-c-a-c%E2%80%99est-des-barbouzes.html
http://www.journaldunet.com/solutions/securite/comodo-pirate-et-faux-certificats-ssl-0311.shtml
Aucun d'eux n'a réagit sur le faite qu'en accord avec Commodo certains hébergeurs fournissent des SSL Niveau 3 sans avoir respecté le protocole qui veut que l'identité soit vérifié en présence de la personne et non par fax etc ..
Tout le monde a droit à la sécurité et à la protection de leur vie privée, pas seulement ceux qui gèrent les sites de commerce électronique.
[^] # Re: Lapin compris.
Posté par Zenitram (site web personnel) . Évalué à -3.
Il aurait fallu faire quoi? CACert propose une meilleure sécurité, garantie (une vraie, avec un audit, une pénalité en cas de problème etc...)?
Tu es prêt à engager ton fric pour préférer CACert au niveau sécurité? Tu proposes sinon?
[^] # Re: Lapin compris.
Posté par barmic . Évalué à 4.
Ça t'arrive de lire ? Il n'a pas parlé de CACert, il dis juste que ta confiance aveugle en vers l'éditeur de ton navigateur devrait peut être être remise en cause.
Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)
[^] # Re: Lapin compris.
Posté par Zenitram (site web personnel) . Évalué à -1.
Et? J'ai parlé de CACert comme potentiel remplaçant pour Commodo par exemple.
Bon, OK, faisons pas du tout confiance dans les certificats. Même question : vous proposez quoi de mieux?
Ca critique, ça critique, mais rien de mieux à proposer...
Ca t'arrive de lire? (je ne fais que reprendre ta façon de parler)
Je n'ai pas dit que j'avais une confiance aveugle en mon navigateur. J'ai une "non confiance" la "moins pire" avec mon navigateur. Tu as peut-être plus confiance en CACert (pour le certificat LinuxFr) ou autre solution (non mentionnée), pas moi, oui, c'est comme ça, mais je regarde l'existant, pas une solution qui n'existe pas.
Maintenant, je suis curieux de savoir en quoi toi tu as confiance (pas aveugle, juste plus confiance que les certificats dans ton navigateur) pour me coucher moins bête ce soir...
[^] # Re: Lapin compris.
Posté par ploum (site web personnel, Mastodon) . Évalué à 8.
ça dépend de l'usage qu'on veut en faire. Si le but d'utiliser https est d'éviter qu'un mot de passe soit transmis en clair sur le réseau, alors, un certificat en carton est tout à fait valable. Si on veut être certain de l'identité en face, alors, effectivement, un certificat doit être valide.
Mes livres CC By-SA : https://ploum.net/livres.html
[^] # Re: Lapin compris.
Posté par Grunt . Évalué à 2.
Oui, le certificat auto-signé apporte une garantie contre un observateur qui regarde le flux mais ne peut pas faire de MITM.
Par contre, si quelqu'un fait un MITM, un certificat auto-signé ne lui pose comme seule contrainte que d'être là lors de la première découverte du certificat.
THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.
[^] # Re: Lapin compris.
Posté par chtitux (site web personnel) . Évalué à 8.
En fait, la BU aurait dû lui répondre :
Et « un certificat en carton » ne veut pas dire grand chose. Le certificat est-il « juste » auto-signé, ou est-ce une vraie erreur : adresse ne correspondant pas au sujet du certificat, certificat expiré, certificat signé par une autorité qui n'est pas de confiance, etc.
[^] # Re: Lapin compris.
Posté par Zenitram (site web personnel) . Évalué à 5.
0€, c'est trop cher?
http://www.startssl.com/?app=1
Qu'on ne souhaite pas rentrer dans le moule pour raison politique (version LinuxFr), OK, mais l'excuse du manque de moyens, c'est euh... Bof. Pas besoin d'un certificat avec nom de la BU affiché tout ça non plus.
[^] # Re: Lapin compris.
Posté par JGO . Évalué à 4.
Il y a effectivement écrit "FREE" en grosses lettres clignotantes
sur la page d'accueil [...] ce qui est suffisant pour rendre méfiant
n'importe quel organisme vivant plus évolué que le zooplancton.
-+- SB in:
Guide du Cabaliste Usenet- Bien configurer son neurone -+-
[^] # Re: Lapin compris.
Posté par Zenitram (site web personnel) . Évalué à 2.
Je ne te le fait pas dire...
Ca sert à se faire un nom pour vendre des trucs plus évolués un jour quand tu en auras besoin. Le SSL de base, avec peu de vérifications, juste pour ne pas avoir l'alerte de sécurité, c'est la seule chose gratuite, et si tu n'as pas besoin de plus, ça reste gratuit. (et chez OVH, c'est 15€/an http://www.ovh.com/fr/produits/ssl_standard.xml , ça va pas la mort non plus)
[^] # Re: Lapin compris.
Posté par Antoine . Évalué à 3.
C'est pas un peu contradictoire tout ça ?
S'il suffit de peu de vérifications pour éviter aux utilisateurs l'alerte de sécurité, alors comment peux-tu accorder tant d'importance au fait que le certificat racine ait été validé par l'éditeur du brouteur ? Alors même que certaines de ces autorités émettent des certificats avec peu de vérifications ?
[^] # Re: Lapin compris.
Posté par Zenitram (site web personnel) . Évalué à 1.
L'objectif est d'avoir le plus confiance (et non pas une confiance aveugle) que le serveur que veux joindre soit celui qui réponde. Après, oui, j'ai choisi de déléguer la gestion de cette sécurité à mon OS ou mon navigateur, meilleur rapport sécurité/emmerdes. Je le laisse décider si on peut avoir confiance ou pas dans l'organisme. Et pour le moment ça marche pas trop mal, il y a des couacs oui mais ça pourrait être pire.
C'est un choix, oui. On peut choisir une autre choix, oui. Ce que je constate c'est que les vérifications faites par StartSSL sont plus dignes de confiance que ceux de CACert, du point de vue des navigateurs majoritaires (y compris un navigateur qui se veut communautaire, donc qui ne doit pas sélectionner en fonction du fric sur la table).
Désolé, j'ai plus confiance en Mozilla (par exemple) qu'en des gus sortis de nul part qui me disent que CACert c'est bien, et du coup LinuxFr ou la BU, même résultat : impossible d'avoir une chaîne de confiance minimale (si encore l'accès aux certificats racines étaient disponibles par un accès sécurisé avec un certificat dans la chaine de confiance par défaut, ça permettrait de récupérer le certificat en toute confiance et hop la chaîne n'est pas rompue, mais non, c'est "auto-signé", donc un MITM se fait sans problème). Donc bon, pour critiquer la BU, faut aussi critiquer LinuxFr, car c'est le même résultat au niveau confiance. Bizarre on rigole sur la BU mais pas LinuxFr...
[^] # Re: Lapin compris.
Posté par ᴼ ᴹᴬᴺᴺ . Évalué à 4.
Debian m'a dit que CAcert on peut faire confiance.
Qu'est ce que je doit faire docteur ? Installer Windows pour plus de sécurité ?</troll>
207829⁶+118453⁶=193896⁶+38790⁶+14308⁶+99043⁶+175539⁶
[^] # Re: Lapin compris.
Posté par Zenitram (site web personnel) . Évalué à -8.
C'est un début... Mais bon, Debian, c'est aussi ceux qui ont eu une énorme faille de sécurité SSH, alors bon, la gestion SSx et Debian, je n'ai pas assez confiance, désolé, j'attend plus.
[^] # Re: Lapin compris.
Posté par Benoît Sibaud (site web personnel) . Évalué à 2.
Fais une recherche sur les failles de sécurité concernant TLS/SSL pour Firefox par exemple.
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2011-0082
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2010-3173
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2010-3170
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-3984
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-2061
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2007-0008
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2007-0009
...
Pour ce qui concerne l'inclusion CAcert dans les navigateurs et les systèmes, au lieu de blablater, le mieux serait de récupérer l'info à la source http://wiki.cacert.org/InclusionStatus (et si vous n'avez pas confiance, vérifie toi même si l'inclusion est bien réelle ou non dans Debian, CentOS, Mandriva, Gentoo, OpenBSD, etc.
Et encore un peu plus de confiance :
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Empreinte numérique SHA1 LinuxFr.org : 67:83:8D:C3:E4:AE:28:6D:38:F2:9D:18:BB:0C:64:6C:44:33:E8:0E
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (GNU/Linux)
iD8DBQFN9QyGBCKJs5f+PP0RAtEVAJ9sDkAtL3y24CNmxMqTYbcTn26XpACgv90g
i3O064Qe9wgte0qa29WScy0=
=7We/
-----END PGP SIGNATURE-----
[^] # Re: Lapin compris.
Posté par Benoît Sibaud (site web personnel) . Évalué à 2.
D'autant que j'ai donné l'empreinte de l'ancien (ça aurait dû déranger des gens)...
L'empreinte du nouveau est 65:66:48:8F:BE:91:B8:00:52:02:C8:CB:2E:CC:86:5A:37:58:1F:C8
[^] # Re: Lapin compris.
Posté par fearan . Évalué à 2.
oui enfin c'est un peu comme si des clés de certificats s'étaient fait la malle de la part d'une grosse autorité de certification, forçant la mise à jour de tous les explorateur web (y'a encore des gars sous ie6).
Tu devrais révoquer l'autorité de certification en question.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: Lapin compris.
Posté par Zenitram (site web personnel) . Évalué à -1.
Ou révoquer les clés, c'est même à ça que servent les outils de révocation.
En suivant ta logique, Debian devrait être révoqué, j'espère que tu suis ta logique au moins... Ou alors on a plus de compassion pour Debian que pour Commodo car Debian c'est des gentils?
Trop rigolo les changement de position à la tête de l'entité. Et surtout, toujours pas de meilleure solution à proposer.
[^] # Re: Lapin compris.
Posté par claudex . Évalué à 3.
Debian est une autorité de certification pour les site web? Parce, à ce que je sache, Debian ne signe que pour la distribution, donc si tu ne veux pas de Debian, tu ne l'utilise pas et tu n'es pas impacté. D'ailleurs, j'aimerais bien savoir d'où tu vas révoquer Debian?
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Lapin compris.
Posté par Yann 'Ze' Richard (site web personnel) . Évalué à 1.
Il faut absolument que cette personne prenne contact avec les responsables informatiques de son université. Les Universités, via Renater, ont accès à des certificats signés par des autorités reconnues partout : http://www.renater.fr/spip.php?rubrique275
[^] # Re: Lapin compris.
Posté par chtitux (site web personnel) . Évalué à 1.
Donc avec un certificat en carton, on est sûr que notre mot de passe ne pourra pas être lu par quelqu'un d'autre que celui qui envoi le certificat, mais on ne peut s'assurer de l'identité de la personne qui reçoit le mot de passe.
Dans le cas d'un mot de passe, c'est un secret partagé entre l'utilisateur et le site. Quand on le communique, l'objectif est qu'il ne soit intercepté par personne d'autre que le site, donc il faut s'assurer d'[au moins] 2 conditions :
Avec un certificat en carton, on a juste le premier point. Donc dans le cadre de la transmission d'un mot de passe, le certificat en carton n'est pas suffisant.
Je ne connais pas d'ailleurs de cas d'utilisation où seul le chiffrement est utile, et l'on se moque de savoir à qui on envoi les données. Mais éclairez moi, je suis curieux d'en connaître un !
[^] # Re: Lapin compris.
Posté par claudex . Évalué à 2.
Ce n'est même pas assuré, si c'est le certificat d'un proxy entre toi et le site. Ce sera chiffré entre le proxy et toi mais rien ne garanti que ce sera chiffré entre le proxy et le site.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Lapin compris.
Posté par ᴼ ᴹᴬᴺᴺ . Évalué à 6.
Quand je vais voir un site avec des photos de petits chats : je ne me connecte pas mais je regarde seulement les photos, si c'est chiffré c'est quand même mieux (mon patron ne saura pas quelles photos j'ai vu).
Si je reçois les photos des chats c'est bien, si c'est à un autre site que je parle (OMG un faux certificat !) bien c'est pas très important sauf qu'ils sauront quelles photos de chat j'ai vu.
207829⁶+118453⁶=193896⁶+38790⁶+14308⁶+99043⁶+175539⁶
[^] # Re: Lapin compris.
Posté par bubar🦥 (Mastodon) . Évalué à -3.
ben tu lui dis poliment qu'il ne s'agit pas là du process interne au groupe.
qu'un site "interne", administré par une branche du groupe, doit être relié à l'authentification de la maison, et que chaque collaborateur doit utiliser sa token pour cela.
et si tu veux pas te mouiller, tu lui dis rien. et tu fais passer l'information (non respect des procédures) à qui de droit. c'est habituel dans cette maison de faire un grand sourire par devant et de donner un grand coup de couteau par derrière.
hop, je ->
# Facile
Posté par 2PetitsVerres . Évalué à 10.
"Le top posting, c'est mal."
Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.
# Que répondre à ça ?
Posté par Sébastien B. . Évalué à 9.
"Bonjour, pouvez vous transférer mon email à un informaticien compétent ?"
[^] # Re: Que répondre à ça ?
Posté par Vlobulle . Évalué à 9.
Réponse probable :
"Bonjour, nous n'en avons malheureusement aucun sous la main."
# c est naze comme reponse
Posté par jpph . Évalué à -3.
Surtout que maintenant avec startcom tu peux avoir un certificat gratuit.
# Ce que j'en pense.
Posté par snt . Évalué à 10.
Tu dis "Je ne peux le faire avec firefox". Ton interlocuteur t'expliques que tu te trompes et t'indiques comment le faire.
Tu aurais du écrire "Je peux accéder au site en ajoutant une exception de sécurité cependant je refuse de le faire." De cette façon ton interlocuteur aurait pu t'ignorer et vous auriez tout les deux gagné du temps.
[^] # Re: Ce que j'en pense.
Posté par B16F4RV4RD1N . Évalué à 10.
et nous aussi par la même occasion :)
Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it
[^] # Re: Ce que j'en pense.
Posté par geb . Évalué à 7.
J'irais même plus loin. Avant de poster sur linuxfr,:
Déjà, es tu sûr de t'adresser à la bonne personne ? C'est bien une personne du CRI (service info) de ton université ? Pas une personne de la BU qui n'en a que faire et ne connait sans doute pas les problématiques ?
Ensuite, tu pourrais sans doute préciser si c'est un service critique avec demande de MDP etc, ou un service annexe sur lequel on ne te demande pas de te loguer. La plupart des universités utilisent CAS et ont (je suppose et l'espere) des certificats corrects.
En effet, plutôt que de te moquer publiquement de ton interlocuteur, il serait de bonne augure que tu reflechisse un temps soit peu aux problématiques. La plupart des universités c'est plusieurs (dizaines de) milliers d'utilisateurs, des centaines de postes, des centaines de services à droite à gauche, parfois montés en autarcie, parfois extrement critiques (mails, ldap, réseau..).
Il arrive que des réseaux soient mal gérés, mais c'est quand même relativement rares, d'autant plus quand la structure est grosse. Par contre, il arrive aussi qu'au milieu des milliers d'utilisateurs , il y ai un relou qui vient de découvrir SSL et qui ne comprenne pas que les gens aient mieux à faire que de mettre à jour le cert SSL du truc monté dans un coin par des non informaticiens et utilisé par 10 personnes.
[^] # Re: Ce que j'en pense.
Posté par Juke (site web personnel) . Évalué à 2.
Va falloir qu'il explique les signatures GPG aussi ?
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.