il suffit d’une seule AC non digne de confiance pour faire s’écrouler toute la confiance qu’on peut avoir en un certificat « reconnu ».
Oui. D'où l'intérêt d'auditer sur un point de vue opérationnel et techniques les CA pour s'assurer qu'elles ne font pas n'importe quoi et que si elles le font, on a des traces. Non, la démarche est globalement cohérente et c'est le modèle que j'ai expliqué deux trois posts plus haut qui veut ça. En face, pour moi les réseaux de confiance sont super compliqués à faire monter à l'échelle et le certificate pinning à la chrome montrera très rapidement ses limites.
J'imagine bien dans quelques années les empreintes des certificats valides pour un site directement dans le DNS avec un machin comme DNSSEC pour assurer l'authentification, mais c'est un peu désespérant.
N'en reste pas moins que les certificats autosignés, c'est tout pourri (sauf bien sûr à connaître toutes les empreintes à l'avance).
[^] # Re: Pourquoi je vois les captures, sous Firefox, justement ?
Posté par oinkoink_daotter . En réponse à la dépêche Firefox 32. Évalué à 2.
Oui. D'où l'intérêt d'auditer sur un point de vue opérationnel et techniques les CA pour s'assurer qu'elles ne font pas n'importe quoi et que si elles le font, on a des traces. Non, la démarche est globalement cohérente et c'est le modèle que j'ai expliqué deux trois posts plus haut qui veut ça. En face, pour moi les réseaux de confiance sont super compliqués à faire monter à l'échelle et le certificate pinning à la chrome montrera très rapidement ses limites.
J'imagine bien dans quelques années les empreintes des certificats valides pour un site directement dans le DNS avec un machin comme DNSSEC pour assurer l'authentification, mais c'est un peu désespérant.
N'en reste pas moins que les certificats autosignés, c'est tout pourri (sauf bien sûr à connaître toutes les empreintes à l'avance).