Posté par luxcem .
En réponse au journal À propos des certificats.
Évalué à -1.
Dernière modification le 15 février 2016 à 14:40.
J’ai lu tes messages et il y a quelque chose de clair : tu ne comprends pas ce que tu fais.
Tu ne comprends pas les principes de cryptographie à clé publique.
Tu ne peux pas vérifier toi même un certificat
Je vais essayer de t’expliquer, l’enjeu du certificat est de s’assurer que tu parles à la bonne personne. C’est tout c’est juste pour assurer l’identité de la personne qui a fourni le certificat. Alors comment tu fais pour vérifier ça toi même ? Dis moi ça m’interesse ! Quand tu as un message d’avertissement comment tu vérifies l’identité ?
C’est simple, tu ne peux pas enfin pas facilement, il faudrait que tu vérifie en personne. Par exemple si tu vas sur mon site en https sans CA, il faudrait que je t’ai donné en personne la signature du certificat il n’y a rien que tu puisses vérifier depuis ton écran sans me voir en vrai.
Pour résoudre ce problème il y a qu’une solution : tu fais confiance à quelqu’un d’autre qui lui à verifié mon identité en vrai, par exemple un CA qui m’a demandé une photocopie d’une carte d’identité, un numéro de SIRET, m’a appellé, selon le CA le protocole n’est pas le même. Ou bien tu fais confiance à un amis qui a vérifié pour toi les certificats, c’est le Web of Trust (utilisé pour GPG).
Mais tu ne peux pas vérifier toi même un certificat sans faire une vérification poussée t’assurant de l’identité de la personne en face.
Tu fais une énorme erreur en supprimant tes certificats racines, tu n’est pas à l’abris d’un certificat forgé et tu n’auras aucun moyen de le distinguer d’un vrai.
[^] # Re: What's the point ?
Posté par luxcem . En réponse au journal À propos des certificats. Évalué à -1. Dernière modification le 15 février 2016 à 14:40.
J’ai lu tes messages et il y a quelque chose de clair : tu ne comprends pas ce que tu fais.
Tu ne comprends pas les principes de cryptographie à clé publique.
Tu ne peux pas vérifier toi même un certificat
Je vais essayer de t’expliquer, l’enjeu du certificat est de s’assurer que tu parles à la bonne personne. C’est tout c’est juste pour assurer l’identité de la personne qui a fourni le certificat. Alors comment tu fais pour vérifier ça toi même ? Dis moi ça m’interesse ! Quand tu as un message d’avertissement comment tu vérifies l’identité ?
C’est simple, tu ne peux pas enfin pas facilement, il faudrait que tu vérifie en personne. Par exemple si tu vas sur mon site en https sans CA, il faudrait que je t’ai donné en personne la signature du certificat il n’y a rien que tu puisses vérifier depuis ton écran sans me voir en vrai.
Pour résoudre ce problème il y a qu’une solution : tu fais confiance à quelqu’un d’autre qui lui à verifié mon identité en vrai, par exemple un CA qui m’a demandé une photocopie d’une carte d’identité, un numéro de SIRET, m’a appellé, selon le CA le protocole n’est pas le même. Ou bien tu fais confiance à un amis qui a vérifié pour toi les certificats, c’est le Web of Trust (utilisé pour GPG).
Mais tu ne peux pas vérifier toi même un certificat sans faire une vérification poussée t’assurant de l’identité de la personne en face.
Tu fais une énorme erreur en supprimant tes certificats racines, tu n’est pas à l’abris d’un certificat forgé et tu n’auras aucun moyen de le distinguer d’un vrai.