• [^] # Re: vérifier l'autorité qui a délivré le certificat

    Posté par (site web personnel) . En réponse au message Man in the middle ? Vérifier la validité du SSL. Évalué à 2.

    lorsque le proxy déchiffre, il s'agit de l'AC interne, sinon c'est une AC "reconnnue" (Gandi, Commodo, Thawte, Verisign, let's Encrypt, ...)

    C'est ce que je pensais faire initialement, mais rien n'empêche l'admin de se créer un certificat root qui s'appellerait "Verisign", "Thawte", ou autre, et qu'il utilise pour signer tout les sites.

    Ou utiliser un nom très proche, comme "Verisig*m*".

    D'où l'idée d'utiliser un site web externe qui permette de comparer le certificat officiel avec ce qu'affiche le navigateur.