Bof, il suffit de trouver une CA peu regardante. Avec certaines, on peut même obtenir (il suffit de demander) non pas un simple certificat frauduleux, mais un certificat intermédiaire permettant au titulaire d’émettre lui-même autant de certificats qu’il veut pour n’importe quel domaine.
De plus, si une attaque a lieu il est plus facile de la détecter a posteriori.
Ça fera une belle jambe à ceux qui ont été victimes de l’attaque avant qu’elle ne soit détectée. Ou à celui qui a été victime, si on parle d’une attaque ciblée ne visant qu’une personne bien précise.
Ça par contre ce n’est pas mort puisque Google ne jure que par ça... et ça ne résoud absolument pas le problème. Oui, ça peut permettre une « détection a posteriori » d’une attaque. Ça ne change rien au fait qu’au moment où l’attaque se produit, mon navigateur acceptera sans broncher le certificat frauduleux présenté par l’attaque, Certificate Transparency ou pas.
On peut aussi argumenter que le fait que Let's Encrypt force le renouvellement de certificat régulier force les utilisateurs à automatiser et sécuriser le processus. Alors qu'auparavant c'était souvent fait de manière ad hoc.
[^] # Re: Non, mais ce n’est pas Let’s Encrypt le problème
Posté par gouttegd . En réponse au message Let's Encrypt est-il adéquat?. Évalué à 5. Dernière modification le 29 décembre 2017 à 16:08.
Bof, il suffit de trouver une CA peu regardante. Avec certaines, on peut même obtenir (il suffit de demander) non pas un simple certificat frauduleux, mais un certificat intermédiaire permettant au titulaire d’émettre lui-même autant de certificats qu’il veut pour n’importe quel domaine.
Ça fera une belle jambe à ceux qui ont été victimes de l’attaque avant qu’elle ne soit détectée. Ou à celui qui a été victime, si on parle d’une attaque ciblée ne visant qu’une personne bien précise.
le HTTP Public Key Pinning, c’est mort, Google a dit qu’ils n’en voulaient plus. Et comme c’est Google, ben voilà quoi.
Ça par contre ce n’est pas mort puisque Google ne jure que par ça... et ça ne résoud absolument pas le problème. Oui, ça peut permettre une « détection a posteriori » d’une attaque. Ça ne change rien au fait qu’au moment où l’attaque se produit, mon navigateur acceptera sans broncher le certificat frauduleux présenté par l’attaque, Certificate Transparency ou pas.
Là-dessus je suis d’accord.