• [^] # Re: Pourquoi je vois les captures, sous Firefox, justement ?

    Posté par . En réponse à la dépêche Firefox 32. Évalué à 1.

    Pour moi le concept de WoT pour le SSL n'est pas très applicable.

    Quand on parle de WoT avec GPG, on se crée un réseau de confiance entre humains. On a un vrai moyen de valider de nouveaux humains dans notre réseau en se contactant, en se voyant "en vrai" avec validation de la carte d'identité...

    Qui et comment valide un nouveau site web ? Le premier qui tombe dessus avec le certificat SSL va faire un whois puis téléphoner au gars indiqué sur le contact pour organiser un rendez-vous, lui demander de présenter la société qui est derrière ? Parce qu'à la base pour obtenir un certificat SSL c'est plus ou moins le travail de certification qui était fait (aujourd'hui si on ne demande pas d'extended validation, on obtient un certificat en quelques minutes et pour quelques $ sans aucune validation réelle...).

    Bref, quand on ne peut pas valider quelque chose rapidement, soit on fini par assouplir sa politique de sécurité (accepter qu'il soit validé par n'importe qui et pas seulement par les personnes de premier niveau par exemple), soit on fini par le valider par lassitude sans faire de vérifications (et donc on trahi aussi tous ceux qui nous trustent).

    Dur de penser qu'on peut arriver à avoir quelque chose de qualité.