• [^] # Re: Politique de confiance client

    Posté par . En réponse au journal Public Key Pinning Extension for HTTP. Évalué à 4.

    En fait, cela n'impacterait pas, dans la mesure où je parlai de révocation et non pas d'expiration.

    Et donc, pendant la période de transition vers le nouveau certif, il y a un changement de certif sans révocation, avec ta technique, une alerte sera levé pour rien. (on ne révoque pas un certif dans la seconde du changement, et on change bien avant la date)

    Par contre, avec la directive et l'en-tête PKP-RO, il peut demander, sans lever d'alerte, le moment précis pour lancer une attaque qui réussira.

    S'il arrive à ajouter une entête ou voir le trafic qui part sur une URL donnée, c'est qu'il fait déjà du MitM qui fonctionne. Donc, je ne comprends toujours pas le problème.

    « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche