• [^] # Re: Et DANE simplement

    Posté par (site web personnel) . En réponse au journal Public Key Pinning Extension for HTTP. Évalué à 1.

    Pourquoi pas ? Implémenter DNSSEC/DANE n’interdit pas les autres méthodes. Personne n’a jamais dit que DANE devait être le seul moyen d’authentifier un serveur TLS.

    Bien, comme ça au lieu d'avoir une surface d'attaque pour faire du MitM, on en aura deux.

    Avec cet argument là, autant ne rien faire du tout...

    Non, on fait simplement des choses avec des étapes de transitions raisonnables.

    Au passage, Certificate Transparency est beaucoup moins flexible sur ce plan, puisqu’il interdit explicitement tout certificat qui n’aurait pas été émis par le cartel des CA.

    Il n'a jamais été designé pour les remplacer, uniquement corriger leur problèmes: ce qui est le plus urgent à faire.

    Je n'aime pas plus les certificate authority que vous: elles coûtent cher, ont un monopole honteux, une éthiques douteuses pour certaines d'entre elles. Je les verrai avec joie disparaitre.

    Mais deployer DANE est juste remplacer un monstre par un autre qui ne corrige pas les problèmes du précédents et qui apporte son propre lot d'emmerdes. Le seul avantage de DANE est la réduction des couts pour les particuliers: plus besoin de payer le CA.

    Un internet sans CA viendra bien plus probablement de choses comme :
    - convergence, qui introduit le concept de notaries
    - monkey-sphere, qui veut authoriser les signatures multiples et donc le création d'un Web-of-trust avec SSL
    - namecoin, qui autorise la publication irrévocable via blockchain du fingerprint de tout certificat.
    - TACKs, qui permet de faire du Trust-On-First-Use avec TLS/SSL.

    Maintenant vous pouvez moinsé.