Et pour la majorité des utilisateurs. On fait quoi ? Parce que pour eux, il en suffit d'une pour foutre la merde partout.
On implémente le pinning proprement au niveau de TLS ? Et on mets en place le certificate transparency sur le long terme ?
Des trucs comme certificate transparency seraient bien, malheureusement les CA n'ont pas l'air de se bouger. Peut-être que si leur business se voit menacé par DANE, elles s'y mettront.
Tu es très optimiste.
Admettons que IE, Opera, Chrome, Safari et Firefox se décident d'implémenter DANE et de l'activer par défaut disons....la semaine prochaine.
Admettons que les infrastructures DNS de TOUS les FAI (même ceux du boudjikistan), les réseaux d'entreprises et TOUS les opérateurs mobiles se décident à forwarder correctement DNSSEC et DANE (ce qui est déjà hautement improbable, ça prendrait des années).
Tout comme IE6 ont pourrit la vie des devs Web pendant 10 ans, tu vas forcément continuer à avoir des utilisateurs sous IE9 ou Android 2.3 qui ne géreront pas correctement DANE pendant des années et des années. Donc rien que pour ceux là, tu devras aussi faire signer ton certificat par une autorité de certification et rentrer dans le business juteux des CAs qui continueroent de vivre paisiblement.
DANE/DNSSEC n'est pas en soit un mauvais standard. Mais c'est un standard qui arrive bien trop tard, quand le système de CA est déja le centre du monde et presque impossible à déloger.
[^] # Re: Et DANE simplement
Posté par Firwen (site web personnel) . En réponse au journal Public Key Pinning Extension for HTTP. Évalué à 1. Dernière modification le 20 avril 2015 à 21:23.
On implémente le pinning proprement au niveau de TLS ? Et on mets en place le certificate transparency sur le long terme ?
Tu es très optimiste.
Admettons que IE, Opera, Chrome, Safari et Firefox se décident d'implémenter DANE et de l'activer par défaut disons....la semaine prochaine.
Admettons que les infrastructures DNS de TOUS les FAI (même ceux du boudjikistan), les réseaux d'entreprises et TOUS les opérateurs mobiles se décident à forwarder correctement DNSSEC et DANE (ce qui est déjà hautement improbable, ça prendrait des années).
Tout comme IE6 ont pourrit la vie des devs Web pendant 10 ans, tu vas forcément continuer à avoir des utilisateurs sous IE9 ou Android 2.3 qui ne géreront pas correctement DANE pendant des années et des années. Donc rien que pour ceux là, tu devras aussi faire signer ton certificat par une autorité de certification et rentrer dans le business juteux des CAs qui continueroent de vivre paisiblement.
DANE/DNSSEC n'est pas en soit un mauvais standard. Mais c'est un standard qui arrive bien trop tard, quand le système de CA est déja le centre du monde et presque impossible à déloger.