• [^] # Re: Pourquoi je vois les captures, sous Firefox, justement ?

    Posté par . En réponse à la dépêche Firefox 32. Évalué à 2.

    Attention, ton certificat il est chelou, on pourrait t'écouter. Normalement, ça ne devrait pas se produire et les sites devraient être reconnus correctement(*). Si d'habitude c'est pas comme ça, *y a probablement un truc pas net.

    Non. Un truc « chelou » ou « pas net », c’est un certificat invalide — expiré, révoqué, dont le sujet ne correspond pas au nom du serveur, ou dont la signature est incorrecte. C’est un certificat au sujet duquel on peut dire « je sais qu’il n’est pas correct.1 »

    Un certificat autosigné, c’est un certificat dont on ne peut que dire « je ne sais pas », ce qui est très différent. Et mettre un tel certificat « untrusted » au même niveau qu’un certificat invalide n’est pas justifié (dans un cas on a la certitude qu’il y a un problème, dans l’autre on n’en a aucune).

    Non, sérieusement, je ne vois pas ce qu'un éditeur de brouteur pourrait dire d'autre

    La vérité. « Je ne peux pas confirmer que ce site est bien ce qu’il prétend. » La dernière fois que j’ai vérifié, c’était peu ou prou ce que disait Firefox. Sans chercher à faire peur à l’utilisateur avec un gros message d’erreur sur fond rouge comme le font ou l’ont fait certains navigateurs, et sans sous-entendre qu’il y a forcément quelque chose de « chelou ».

    Et pour être encore plus honnête, le navigateur devrait aussi prévenir, en allant sur un site dont le certificat est signé par une autorité reconnue, que cela n’apporte pas pour autant la garantie qu’il est bien sur le bon site ou qu’il n’y a pas un homme du milieu sur le chemin...

    1 Ce qui ne veut pas forcément dire qu’il y a un acte malicieux derrière. Il peut aussi s’agir d’une erreur ou de laxisme de part de l’administrateur légitime du serveur (qui laisse passer la date d’expiration du certificat par exemple).