tu conspue des tiers de confiance tout en les aimant
Et toi tu me prête des mots que je n'ai jamais écris.
tu ne connais en fait rien en terme de notion de confiance
S'il n'y a que ça pour clore la discussion avec toi, d'accord, j'avoue, je n'y connais absolument rien. Je parle sans rien connaitre de la sécurité, de la confiance, ni de l'informatique, de la vie ou du monde. Je te laisse le privilège de nous montrer la voie vers une informatique de confiance.
Je m'attendais à ce genre de réaction jubilatoire.
Au même titre que tu ne peux pas garantir que le "tiers de confiance" ne va pas te refiler un certificat moisi (c'est déjà arrivé plusieurs fois, juste pour remettre les pendules à l'heure), je ne peux pas garantir que debian ne va pas me refiler un paquet binaire moisi.
Et au même titre que je ne lis pas les sources, tu ne vas pas sonner à la porte du présumé détenteur du certificat, n'est-ce-pas ?
À ma décharge, le principe même d'avoir accès au code source réduit déjà pas mal de risques de se faire refiler n'importe quoi (n'y a-t'il pas d'audit de code, particulièrement depuis les problèmes de openssl ? de cisco ? de juniper ?).
Si tu considère qu'il existe un risque que debian me refile un paquet binaire contenant du code pourri, tu es d'accord pour dire qu'une CA peut valider occasionnellement des certificats plus ou moins douteux. Tes contre-arguments ne valent pas grand chose…
si ton registar décide de changer et de migrer sur ses serveurs DNS, tu peux l'en émpêcher?
Tu veux vraiment qu'on pousse ce raisonnement plus loin ?
Tu vas forker un projet chaque fois qu'une ligne de code te convient pas ?
Si mon registrar fait un truc qui me plait pas, je change de crémerie. Oui, le même principe s'applique à une CA. Mais perso, je préfère faire les choses moi-même. Quand il sera possible d'être son propre registrar, je serai mon propre registrar. En attendant, oui, je dois me contenter de louer mon domaine. Par contre, on a les outils pour faire ses propres certificats. Autant les utiliser.
Et au passage, tu mélange torchons et serviettes. Un registrar, on lui confie un nom de domaine. Une CA, on lui confie le chiffrement. C'est quand même pas la même chose.
Mais alors, pourquoi ce caliméro dans le journal précédent et ce journal?
Ça fait deux fois que tu utilise ce terme. Sans vouloir te commander, cite moi une ligne qui te donne cette impression parce que honnêtement, je ne vois pas.
Pourquoi alors avoir dit que c'était "par dépit" que tu passais à Let's Encrypt?
Je réponds à cette question dans mon article.
Tu dis tout et son contraire en très peu de temps.
Et toi tu cherche à m'infantiliser en étant en plus condescendant, sans même avoir la moindre petite idée de mon parcours informatique, ou même de vie. Je t'invite à lire d'autres commentaires plus bas dans ce journal pour voir comment on fait pour répondre à quelqu'un de façon constructive et intéressante. Je n'envisage plus de te répondre tant que tu seras aussi désagréable.
As-tu le contrôle sur le registrar qui est celui qui décide si il pointe ou pas sur tes serveurs DNS?
Heu, oui, mon registrar me permet de spécifier mes propres serveurs DNS. D'ailleurs, je ne suis pas certain qu'il y ait encore des registrars qui ne le permettent pas.
A mauvais diagnostic, impossible d'avoir un bon remède
Ce n'est pas mon diagnostic qui n'est pas bon: le système actuel n'est pas satisfaisant. Ce n'est pas moi qui le dit.
L'idée que j'avance n'est peut être pas la meilleure, je n'ai jamais prétendu qu'elle l'était. Je n'ai jamais prétendu que c'était la seule.
La, on a surtout l'impression qu'un pré-ado ayant étudié 5 minutes un problème pense avoir la solution ultime à un problème qui fait chier des tonnes d'ingénieurs depuis des années.
Je ne doute pas un instant que d'autres se cassent les dents sur le sujet. Tu en fais partie ?
Toi, tu gueule parce que je critique les certificats, tu gueule parce que je passe à Let's Encrypt. Faudrait savoir, mets un peu d'ordre dans tes idées avant de gueuler partout où tu passes.
Et puis c'est quoi ton trip avec les grand-mères ?
Par ailleurs, tu noteras que si on cherche des alternatives au fonctionnement actuel (au hasard, DANE, comme cité dans une réponse plus bas) c'est que le fonctionnement actuel ne donne pas entière satisfaction. Vrai ou faux ?
Comme je l'ai précisé dans mon journal, je peux taper à côté sur le plan technique (je ne suis pas humainement en capacité de tout connaître, ergo je ne crois pas "mieux savoir que le reste du monde"). Toi, en revanche, tu semble être absolument convaincu que personne ne peut rien apporter de nouveau. Et ça c'est bien triste, homme de peu de foi.
Parce que bien que je loue un domaine à un registrar, j'ai le contrôle sur le serveur DNS.
Alors que quand tu loue un certificat, tu ne gère pas la CA.
Mon but se limite à faire réfléchir. Pas à changer le monde. Ça, c'est pour les super-héros.
Effectivement ton but est très limite. Sais-tu que les super-héros n'existent pas ?
Désolé de ne pas être à la hauteur de tes attentes, mais quand j'essayai de sauver le monde, le monde n'était pas plus réceptif, alors j'ai décidé de tenter de simplement le faire réfléchir.
On n'est pas obligé d'accepter les gens qui ne souhaitent pas être crédible
C'est bien le problème que je pointe: laisser Google (ou qui que ce soit à part soi-même) décider qui est crédible est une erreur à partir du moment où ça empêche les autres d'exister. Je sais, je prévois quelque chose qui n'arrivera peut être jamais, mais encore une fois, je ne fais qu'avertir de la possibilité que ça arrive.
Que ça finisse en tout serveur mail qui n'a pas de SSL avec un certificat de confiance ne me choque pas.
Que ça finisse en tout serveur mail avec un certificat est une bonne chose. Je me répète mais le fond du problème est la confiance qu'on leur accorde, et, encore une fois, ce n'est pas à Google ni à une autre entreprise de décider ce qui est bon ou pas pour les visiteurs. Ça ne relève pas de leur autorité.
Hors sujet.
Oui, c'est ce que j'ai dis. Remarque useless.
C'est quoi un Internet plus authentique? Celui avec 99% de mails qui sont du spam et une navigation avec des MITM permanents? Perso, je te le laisse.
Ah, parce que les certificats changent quelque chose au SPAM ? Parce que les spammeurs ne peuvent pas avoir un certificat signé par Let's Encrypt ? Parce que les spammeurs ne peuvent pas se payer un certificat ? Le spam n'a rien à voir là dedans. Ton argument sur les MITM est plus pertinent, encore que.
Quand je parle d'Internet plus authentique, je parle d'un Internet qu'on n'aurait pas laissé aux mains des GAFA. Mais peut être est-ce déjà trop tard.
Ca me fait penser à Calimero, ça manque d'arguments à part ça.
Qu'est-ce qui manque d'arguments ? L'objet de mon article est "Pourquoi", j'y réponds: pour être lu. Je ne vois pas ce qu'il y a à argumenter. Par ailleurs, je ne vois pas la comparaison avec Calimero. Je ne me plains pas d'un manque de considération ou je ne sais quoi.
On est sur Linuxfr, moi je t'aurais surtout demandé "Comment ?"
Il me semble que Let's Encrypt est suffisamment simple d'utilisation pour qu'il ne soit pas nécessaire que je m'étende sur le sujet.
Qu'est-ce qu'ils ont à voir avec le message d'avertissement de gmail ?
Ils ont à voir qu'ils font la pluie et le beau temps sur Internet et que pendant des années on (les geeks) a tous dit qu'il ne fallait pas les laisser faire. Aujourd'hui, Google, Apple, facebook, Amazon ont plus de pouvoir que jamais. J'ai étendu ma remarque à des points qui dépassent largement les certificats. Simplement pour exprimer un point de vue. Le but de tout échange entre humains.
il me dit que tu aimes ca te faire insulter
J'ai réalisé que peut être, j'étais là pour ça :)
Peut-être, mais d'après ce que je lis, ca sera pas grâce à toi…
Mon but se limite à faire réfléchir. Pas à changer le monde. Ça, c'est pour les super-héros.
J'ai du mal à comprendre comment on peut se plaindre de la qualité d'image d'un adaptateur TNT, quel qu'il soit, quand on le met sur un TV à tube. En fait, je ne vois même pas l'intérêt.
Oui d'accord, ça évite d'acheter un nouveau TV. Mais on ne peut pas avoir les deux. Pourquoi ne pas passer à un écran plat ? "Ça vaut plus rien".
Et puis désolé mais, en high tech, un changement tous les dix ans, c'est pas non plus insurmontable. Y'en a qui changent de voiture plus souvent que ça…
Et pour illustrer le tou*t, je vous donne le début de la critique de l’école des femmes de Molière dans sa version originale* (recopiée à la main, donc il y a sûrement des typos)
Je teste depuis quelques semaines la désactivation des certificats racines dans firefox et kde.
J'ai eu quelques boîtes de dialogue me demandant ce que je voulais faire à la première connexion sur un site inconnu. J'accepte les certifs, et voilà. Je ne comprends pas ce qu'il y a de compliqué.
En effet, il faut penser à vérifier les données de base du certificat pour éviter de se faire avoir avec un cert forgé à l'arrache, et ça n'améliore pas la sécurité pour des certificats mieux forgés, on est d'accord.
Mais, une fois de plus, je trouve que c'est mieux que les outils clients me demandent au lieu d'accepter à l'aveugle.
Je ne vois pas ce qui est compliqué dans ce que j'ai fais, ni même de l'utilisation résultante des-dits outils.
Désolé mais je ne suis pas d'accord avec toi, tout simplement pour des questions financières: le modèle actuel profite bien aux boîtes qui vendent des certificats.
Vois pas le rapport. Le certificat racine était autosigné
Moi non plus je ne vois pas le rapport: certificat racine autosigné ou pas, il n'a pas été approuvé par l'utilisateur.
À l'époque on savait que SuperFish était une boîte de pub. Personnellement, je n'aurait pas accepté le certificat d'une boîte de pub si on m'avait posé la question.
Comment vérifies-tu, la chaine de sécurité?
Question rhétorique. Un minimum de bon sens permet déjà de pas se faire avoir sur des certs forgés à l'arrache.
C'est comme pour le phishing: un mec qui prend le temps de faire un mail peaufiné aux petits oignons peut facilement se faire passer pour une banque. Plus le niveau technique de l'utilisateur est élevé, mieux il peut faire face. Au final c'est quand même l'utilisateur qui prend la décision de livrer ses infos, en fonction de ses compétences techniques. Pour les certs, ça devrait être pareil.
Aujourd'hui, les certificats, en l'état, c'est rien de plus qu'une rustine pour contourner le problèmes de l'identification d'un serveur distant. Ma proposition ne vise pas à changer ça en profondeur puisqu'il faudrait revoir certaines couches plus basses du modèle OSI (et y en à déjà qui bossent dessus). Ma proposition vise à restaurer une valeur fondamentale du Libre en rendant à tout le monde un pouvoir qu'on a délégué à des entreprises commerciales.
[^] # Re: dommage de ne pas s'être renseigné plus en avant...
Posté par Richard Dern . En réponse au journal Pourquoi je suis passé à Let's Encrypt. Évalué à -3.
Et toi tu me prête des mots que je n'ai jamais écris.
S'il n'y a que ça pour clore la discussion avec toi, d'accord, j'avoue, je n'y connais absolument rien. Je parle sans rien connaitre de la sécurité, de la confiance, ni de l'informatique, de la vie ou du monde. Je te laisse le privilège de nous montrer la voie vers une informatique de confiance.
[^] # Re: dommage de ne pas s'être renseigné plus en avant...
Posté par Richard Dern . En réponse au journal Pourquoi je suis passé à Let's Encrypt. Évalué à -5.
Je m'attendais à ce genre de réaction jubilatoire.
Au même titre que tu ne peux pas garantir que le "tiers de confiance" ne va pas te refiler un certificat moisi (c'est déjà arrivé plusieurs fois, juste pour remettre les pendules à l'heure), je ne peux pas garantir que debian ne va pas me refiler un paquet binaire moisi.
Et au même titre que je ne lis pas les sources, tu ne vas pas sonner à la porte du présumé détenteur du certificat, n'est-ce-pas ?
À ma décharge, le principe même d'avoir accès au code source réduit déjà pas mal de risques de se faire refiler n'importe quoi (n'y a-t'il pas d'audit de code, particulièrement depuis les problèmes de openssl ? de cisco ? de juniper ?).
Si tu considère qu'il existe un risque que debian me refile un paquet binaire contenant du code pourri, tu es d'accord pour dire qu'une CA peut valider occasionnellement des certificats plus ou moins douteux. Tes contre-arguments ne valent pas grand chose…
[^] # Re: dommage de ne pas s'être renseigné plus en avant...
Posté par Richard Dern . En réponse au journal Pourquoi je suis passé à Let's Encrypt. Évalué à -5.
En effet, et je peux avoir confiance en ces tiers puisque j'ai accès au code source du système.
[^] # Re: dommage de ne pas s'être renseigné plus en avant...
Posté par Richard Dern . En réponse au journal Pourquoi je suis passé à Let's Encrypt. Évalué à -1.
Oui, exact, je n'ai pas réfléchi à ça.
Ce qui renforce encore l'inexactitude de sa comparaison.
[^] # Re: dommage de ne pas s'être renseigné plus en avant...
Posté par Richard Dern . En réponse au journal Pourquoi je suis passé à Let's Encrypt. Évalué à -3.
Tu veux vraiment qu'on pousse ce raisonnement plus loin ?
Tu vas forker un projet chaque fois qu'une ligne de code te convient pas ?
Si mon registrar fait un truc qui me plait pas, je change de crémerie. Oui, le même principe s'applique à une CA. Mais perso, je préfère faire les choses moi-même. Quand il sera possible d'être son propre registrar, je serai mon propre registrar. En attendant, oui, je dois me contenter de louer mon domaine. Par contre, on a les outils pour faire ses propres certificats. Autant les utiliser.
Et au passage, tu mélange torchons et serviettes. Un registrar, on lui confie un nom de domaine. Une CA, on lui confie le chiffrement. C'est quand même pas la même chose.
Ça fait deux fois que tu utilise ce terme. Sans vouloir te commander, cite moi une ligne qui te donne cette impression parce que honnêtement, je ne vois pas.
Je réponds à cette question dans mon article.
Et toi tu cherche à m'infantiliser en étant en plus condescendant, sans même avoir la moindre petite idée de mon parcours informatique, ou même de vie. Je t'invite à lire d'autres commentaires plus bas dans ce journal pour voir comment on fait pour répondre à quelqu'un de façon constructive et intéressante. Je n'envisage plus de te répondre tant que tu seras aussi désagréable.
[^] # Re: dommage de ne pas s'être renseigné plus en avant...
Posté par Richard Dern . En réponse au journal Pourquoi je suis passé à Let's Encrypt. Évalué à -1.
Heu, oui, mon registrar me permet de spécifier mes propres serveurs DNS. D'ailleurs, je ne suis pas certain qu'il y ait encore des registrars qui ne le permettent pas.
Ce n'est pas mon diagnostic qui n'est pas bon: le système actuel n'est pas satisfaisant. Ce n'est pas moi qui le dit.
L'idée que j'avance n'est peut être pas la meilleure, je n'ai jamais prétendu qu'elle l'était. Je n'ai jamais prétendu que c'était la seule.
Je ne doute pas un instant que d'autres se cassent les dents sur le sujet. Tu en fais partie ?
[^] # Re: dommage de ne pas s'être renseigné plus en avant...
Posté par Richard Dern . En réponse au journal Pourquoi je suis passé à Let's Encrypt. Évalué à 0.
Oh, j'ai bien compris le principe de tiers de confiance.
C'est juste que j'ai choisi de ne pas adhérer à ce principe.
[^] # Re: Google ne peut pas exclure les self-signed
Posté par Richard Dern . En réponse au journal Pourquoi je suis passé à Let's Encrypt. Évalué à 3.
Merci pour ces précisions très instructives.
Me voilà quelque peu rassuré sur ce point.
[^] # Re: Platitude de discours et syndrome du martyr
Posté par Richard Dern . En réponse au journal Pourquoi je suis passé à Let's Encrypt. Évalué à -8.
Toi, tu gueule parce que je critique les certificats, tu gueule parce que je passe à Let's Encrypt. Faudrait savoir, mets un peu d'ordre dans tes idées avant de gueuler partout où tu passes.
Et puis c'est quoi ton trip avec les grand-mères ?
Par ailleurs, tu noteras que si on cherche des alternatives au fonctionnement actuel (au hasard, DANE, comme cité dans une réponse plus bas) c'est que le fonctionnement actuel ne donne pas entière satisfaction. Vrai ou faux ?
Comme je l'ai précisé dans mon journal, je peux taper à côté sur le plan technique (je ne suis pas humainement en capacité de tout connaître, ergo je ne crois pas "mieux savoir que le reste du monde"). Toi, en revanche, tu semble être absolument convaincu que personne ne peut rien apporter de nouveau. Et ça c'est bien triste, homme de peu de foi.
[^] # Re: dommage de ne pas s'être renseigné plus en avant...
Posté par Richard Dern . En réponse au journal Pourquoi je suis passé à Let's Encrypt. Évalué à 0.
Parce que bien que je loue un domaine à un registrar, j'ai le contrôle sur le serveur DNS.
Alors que quand tu loue un certificat, tu ne gère pas la CA.
[^] # Re: Platitude de discours et syndrome du martyr
Posté par Richard Dern . En réponse au journal Pourquoi je suis passé à Let's Encrypt. Évalué à 0.
Désolé de ne pas être à la hauteur de tes attentes, mais quand j'essayai de sauver le monde, le monde n'était pas plus réceptif, alors j'ai décidé de tenter de simplement le faire réfléchir.
Mais peut être que j'ai encore trop d'ambition.
[^] # Re: dommage de ne pas s'être renseigné plus en avant...
Posté par Richard Dern . En réponse au journal Pourquoi je suis passé à Let's Encrypt. Évalué à 0.
Je n'ai jamais dis ça. J´ai simplement constaté le peu de partisans que j'avais. Mais depuis, j'ai relativisé :)
Tu as raison, je vais davantage me renseigner là dessus. Merci de m'en avoir informé.
[^] # Re: Bof
Posté par Richard Dern . En réponse au journal Pourquoi je suis passé à Let's Encrypt. Évalué à 2.
C'est bien le problème que je pointe: laisser Google (ou qui que ce soit à part soi-même) décider qui est crédible est une erreur à partir du moment où ça empêche les autres d'exister. Je sais, je prévois quelque chose qui n'arrivera peut être jamais, mais encore une fois, je ne fais qu'avertir de la possibilité que ça arrive.
Que ça finisse en tout serveur mail avec un certificat est une bonne chose. Je me répète mais le fond du problème est la confiance qu'on leur accorde, et, encore une fois, ce n'est pas à Google ni à une autre entreprise de décider ce qui est bon ou pas pour les visiteurs. Ça ne relève pas de leur autorité.
Oui, c'est ce que j'ai dis. Remarque useless.
Ah, parce que les certificats changent quelque chose au SPAM ? Parce que les spammeurs ne peuvent pas avoir un certificat signé par Let's Encrypt ? Parce que les spammeurs ne peuvent pas se payer un certificat ? Le spam n'a rien à voir là dedans. Ton argument sur les MITM est plus pertinent, encore que.
Quand je parle d'Internet plus authentique, je parle d'un Internet qu'on n'aurait pas laissé aux mains des GAFA. Mais peut être est-ce déjà trop tard.
Qu'est-ce qui manque d'arguments ? L'objet de mon article est "Pourquoi", j'y réponds: pour être lu. Je ne vois pas ce qu'il y a à argumenter. Par ailleurs, je ne vois pas la comparaison avec Calimero. Je ne me plains pas d'un manque de considération ou je ne sais quoi.
[^] # Re: Platitude de discours et syndrome du martyr
Posté par Richard Dern . En réponse au journal Pourquoi je suis passé à Let's Encrypt. Évalué à 2.
Il me semble que Let's Encrypt est suffisamment simple d'utilisation pour qu'il ne soit pas nécessaire que je m'étende sur le sujet.
Ils ont à voir qu'ils font la pluie et le beau temps sur Internet et que pendant des années on (les geeks) a tous dit qu'il ne fallait pas les laisser faire. Aujourd'hui, Google, Apple, facebook, Amazon ont plus de pouvoir que jamais. J'ai étendu ma remarque à des points qui dépassent largement les certificats. Simplement pour exprimer un point de vue. Le but de tout échange entre humains.
J'ai réalisé que peut être, j'étais là pour ça :)
Mon but se limite à faire réfléchir. Pas à changer le monde. Ça, c'est pour les super-héros.
[^] # Re: Tube ?
Posté par Richard Dern . En réponse au journal tnt passage au H264. Évalué à 2.
Pardon, j'ai oublié un morceau de ma phrase:
On ne peut pas avoir les deux, sous-entendu garder sa vieille télé et avoir la qualité offerte par la TNT.
[^] # Re: Tube ?
Posté par Richard Dern . En réponse au journal tnt passage au H264. Évalué à 1.
C'est peut être que ça ne vient pas du tuner TNT mais du TV…
# Tube ?
Posté par Richard Dern . En réponse au journal tnt passage au H264. Évalué à 1.
J'ai du mal à comprendre comment on peut se plaindre de la qualité d'image d'un adaptateur TNT, quel qu'il soit, quand on le met sur un TV à tube. En fait, je ne vois même pas l'intérêt.
Oui d'accord, ça évite d'acheter un nouveau TV. Mais on ne peut pas avoir les deux. Pourquoi ne pas passer à un écran plat ? "Ça vaut plus rien".
Et puis désolé mais, en high tech, un changement tous les dix ans, c'est pas non plus insurmontable. Y'en a qui changent de voiture plus souvent que ça…
[^] # Re: Des fautes voulues ?
Posté par Richard Dern . En réponse au journal Non aux réformes de l’orthographe !. Évalué à -1.
Ah, les insomnies… Le mal du geek :)
# Des fautes voulues ?
Posté par Richard Dern . En réponse au journal Non aux réformes de l’orthographe !. Évalué à 1.
[^] # Re: Diffamation ?
Posté par Richard Dern . En réponse au journal À propos des certificats. Évalué à -2.
CALEA, ça te dit quelque chose ?
En gros c'est une loi qui oblige les constructeurs à implanter des backdoors.
Cisco étant un constructeur de matériel réseau américain, il est soumis à cette loi. Par conséquent, les routeurs Cisco intègrent des backdoors.
Je t'invite également à lire les documents de l'EFF consacrés à Cisco.
[^] # Re: What's the point ?
Posté par Richard Dern . En réponse au journal À propos des certificats. Évalué à 2.
Je teste depuis quelques semaines la désactivation des certificats racines dans firefox et kde.
J'ai eu quelques boîtes de dialogue me demandant ce que je voulais faire à la première connexion sur un site inconnu. J'accepte les certifs, et voilà. Je ne comprends pas ce qu'il y a de compliqué.
En effet, il faut penser à vérifier les données de base du certificat pour éviter de se faire avoir avec un cert forgé à l'arrache, et ça n'améliore pas la sécurité pour des certificats mieux forgés, on est d'accord.
Mais, une fois de plus, je trouve que c'est mieux que les outils clients me demandent au lieu d'accepter à l'aveugle.
Je ne vois pas ce qui est compliqué dans ce que j'ai fais, ni même de l'utilisation résultante des-dits outils.
[^] # Re: What's the point ?
Posté par Richard Dern . En réponse au journal À propos des certificats. Évalué à -3.
Désolé mais je ne suis pas d'accord avec toi, tout simplement pour des questions financières: le modèle actuel profite bien aux boîtes qui vendent des certificats.
Ça profite bien aux gouvernements aussi au passage.
[^] # Re: Quel le problème en fait ?
Posté par Richard Dern . En réponse au journal À propos des certificats. Évalué à 1.
Rien.
[^] # Re: Version de bootstrap utilisée pour comparer ?
Posté par Richard Dern . En réponse au journal Test du framework front-end Semantic UI. Évalué à 1.
Oui, mais si tu reproche à SUI de proposer 13 couleurs, le MD de Google doit te rendre fou.
Oui, je me suis renseigné avant de parler.
Est-ce qu'une seule fois dans mon article j'ai prétendu avoir fais une analyse objective de SUI ?
Tant mieux pour toi. En ce qui me concerne, j'avoue, je ne suis pas capable de mémoriser les docs de tout ce que j'utilise pour développer.
[^] # Re: Quel le problème en fait ?
Posté par Richard Dern . En réponse au journal À propos des certificats. Évalué à -1.
Moi non plus je ne vois pas le rapport: certificat racine autosigné ou pas, il n'a pas été approuvé par l'utilisateur.
À l'époque on savait que SuperFish était une boîte de pub. Personnellement, je n'aurait pas accepté le certificat d'une boîte de pub si on m'avait posé la question.
Question rhétorique. Un minimum de bon sens permet déjà de pas se faire avoir sur des certs forgés à l'arrache.
C'est comme pour le phishing: un mec qui prend le temps de faire un mail peaufiné aux petits oignons peut facilement se faire passer pour une banque. Plus le niveau technique de l'utilisateur est élevé, mieux il peut faire face. Au final c'est quand même l'utilisateur qui prend la décision de livrer ses infos, en fonction de ses compétences techniques. Pour les certs, ça devrait être pareil.
Aujourd'hui, les certificats, en l'état, c'est rien de plus qu'une rustine pour contourner le problèmes de l'identification d'un serveur distant. Ma proposition ne vise pas à changer ça en profondeur puisqu'il faudrait revoir certaines couches plus basses du modèle OSI (et y en à déjà qui bossent dessus). Ma proposition vise à restaurer une valeur fondamentale du Libre en rendant à tout le monde un pouvoir qu'on a délégué à des entreprises commerciales.