• [^] # Re: Pourquoi je vois les captures, sous Firefox, justement ?

    Posté par . En réponse à la dépêche Firefox 32. Évalué à 10.

    C'est bien joli en théorie mais combien de projets, libres ou non, ont un audit de sécurité permanent ?

    Le truc c'est que quand tu veux être une autorité de certification, tu est tenu d'avoir un audit permanent, contrôler qui a le droit de faire quoi, qui le fait, qui a les clefs, et qui s'en sert à chaque action est la définition même d'une autorité de confiance.

    Certainement pas openSSL, et pourtant il est bien massivement utilisé :)

    Tu confonds deux types distincts d'audit, un audit technique et un audit production. L'audit technique d'OpenSSL a péché assez largement, mais son audit production est plutôt bon (on sait qui fait quoi, quand il le fait, les droits de commit sont plutôt bien validé etc.)
    Une autorité de confiance n'est pas une organisation qui peut demander aux utilisateurs de reprendre leurs transactions d'il y a 15 jours pour les patcher.

    une entité communautaire non-crédible face aux entités commerciales crédibles

    Je pense que CACert a très largement sous-estimé la charge de travail pour devenir une autorité de certification et que le boulot qu'elle accompli aujourd'hui est de mauvaise qualité. Par mauvaise qualité je veux dire en dessous des "gros" comme Verisign qui font déjà un travail de qualité tout à fait médiocre. Pour avoir testé un certain nombre d'autorité de certification je peux te dire qu'il n'y en a pas une qui tienne la route comparé aux autorités tiers du système bancaire*, mais qu'elle sont toutes largement devant CACert.
    Ca ne veut pas dire qu'une autorité de confiance communautaire ne peut pas exister, mais CACert est loin d'avoir les arguments nécessaire pour être reconnu.

    L'audit est en cours (certes depuis longtemps) et a apparement subit de nombreux rebondissements, je n'en connais pas les raisons

    A ma connaissance toutes les demandes d'inclusion ont été retirées en 2007. Tout l'historique du truc est ici :
    https://bugzilla.mozilla.org/show_bug.cgi?id=215243

    TLDR : La dernière fois qu'on a eu des nouvelles d'un auditeur c'était pour dire que l'organisation était chaotique, l'infrastructure en morceau, le système de validation inopérant et les relations entre CACert et les autres assureurs ou clients complètement déséquilibrées.

    Depuis plus rien.

    • La création d'un nouveau certificat se passe généralement de façon assez propre chez les gros (sauf chez le plus gros qui est aussi en charge des nom de domaine et qui a racheté le produit du créateur d'Ubuntu) - par contre au renouvellement c'est souvent un festival.