• [^] # Re: Certificat auto-signé

    Posté par (site web personnel) . En réponse à la dépêche HSTS arrive dans Firefox 4. Évalué à 8.

    Certes ils en font des tonnes, mais justement parce que les utilisateurs ont trop l'habitude d'avoir des boites de dialogue et de valider sans vraiment comprendre.

    Moi j'aime bien les pages de Mozilla où ajouter une exception n'est pas une simple validation et où clairement le bouton si on ne réfléchit pas est "je m'en vais".

    Pour ce qui est de la banalisation, même avec les pages de Mozilla, on y est déjà.

    Je me rappelle à une conférence de développeurs web, probablement des développeurs du haut du panier, des gens qui comprennent, qui savent, et qui font attention.
    On avait du wifi prêté pour des ateliers, géré par une école (peut être par l'administration, peut être par des étudiants, on n'en sait rien). Là dessus ils avaient un proxy filtrant aussi le HTTPS (donc cassant les certificats, tous apparaissaient comme des certificats auto-signés).
    Et bien ... tous se sont connectés à gmail et à twitter, en validant les erreurs "certificat ssl incorrect". Tous sans exception, j'ai fait un sondage.
    Le réflexe est tellement ancré tous se croient plus sachant que le système et que jamais les erreurs du système ne sont acceptées comme bloquantes. Le "Je veux" de l'utilisateur ne s'arrête plus aux "non" du système, quelle que soit la forme qu'on leur donne ou la connaissance de l'utilisateur.

    La seule solution que je vois serait de permettre aux navigateurs :
    - de faire la différence entre un certificat sans CA de confiance visité pour la première fois (probablement un auto-signé) et un certificat sans CA de confiance pour un site qui était certifié auparavant (probablement un problème de MITM)
    - de faire la différence entre un certificat à problème sur une connexion cable habituelle et sur une connexion wifi publique (avec une gravité supplémentaire pour ce dernier cas qui rend plus vraissembable l'attaque)
    - d'utiliser un tiers de confiance pour savoir si la signature du certificat auto-signée est la même que celle que les autres ont et ont eu par le passé ou pas (auquel cas si je suis le seul, c'est certainement un MITM)