• [^] # Re: vérifier l'autorité qui a délivré le certificat

    Posté par (site web personnel) . En réponse au message Man in the middle ? Vérifier la validité du SSL. Évalué à 3.

    Je ne nie pas la nécessité de mettre en place un mécanisme de déchiffrement du SSL, du moins au niveau des entreprises.

    Ce qui me gène, c'est que l'utilisateur est mal informé du fait que le SSL va être cassé, déchiffré, et les données éventuellement stockées pour une post-analyse.

    Peu de personnes savent que le "petit cadenas" dans le navigateur veut dire que la connexion est sécurisée. Mais maintenant, il faut expliquer à ces rare personnes que non, la présence du cadenas ne suffit pas, et qu'il faut vérifier le "Root certificat". C'est nettement moins simple... :(

    Aussi, je pense que lorsqu'une entreprise se livre à du déchiffrement SSL, il faudrait que le proxy SSL rajoute à la volée un morceau de code HTM/Javascript à la 1ère page, afin d'afficher une popup, ou un bandeau du style de ceux qui s'affiche actuellement "le site sur lequel vous surfez contient des cookies". Histoire qu'avant de taper son login/password, l'utilisateur se dise "Tiens, je vais me faire piquer mon mot de passe, je vais peut-être ne pas le faire".