• [^] # Re: Politique de confiance client

    Posté par . En réponse au journal Public Key Pinning Extension for HTTP. Évalué à 4.

    En même temps, le navigateur pourrait tout aussi bien épingler par défaut les certificats serveur et alerter l'utilisateur dans le cas où le certificat a changé et qu'il n'a pas été révoqué.

    Ce ne serait pas user-friendly, la plupart des sites changes avant la date d'expiration du certificat. Et des sites à haut trafic ont des certificats différents en fonction de la ferme de serveur sur laquelle tu tappe. Au final, ça ferrait beaucoup de faux positif pour rien.

    La directive includeSubDomains me semble être un brin doublon avec le champ SubjectAltName des certificats.

    Je ne vois pas pourquoi. Typiquement, tu peux avoir un certificat wildcard mais cnd.example.com qui utilise un tout autre certificat.

    Quant à la directive report-uri, elle me fait l'effet d'une une issue de secours mitoyenne de la porte équipée des derniers modèles de serrure tip-top inviolable qui doit toujours être fermée.

    Je ne comprend pas non plus. Typiquement, c'est ce genre de mécanisme qui a permis de détecter les dernière usurpations de Google. En plus, pour du debug c'est très bien.

    « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche