• [^] # Re: Varnish

    Posté par . En réponse au journal spdy://. Évalué à 4.

    Tout dépend comment c'est fait. Aujourd'hui, c'est exact. Mais si demain, les CAs "ajoutées" ont un niveau de confiance par défaut plus faible que les autres, et que cela se voit lorsqu'on visite un site dont elles vérifient le certificat - quelque-chose d'un peu mieux gaulé que le machin vert du "extended verified" - pourquoi pas?

    Et je sais que le sujet est déjà largement discuté, et je n'ai pas prétention à résoudre le problème de la confiance en SSL tout seul dans mon coin, mais je serais très favorable à une extension des certificats de CA qui indiqueraient le(s) domaine(s) autorisés à la certification.

    Du genre ma CA perso indique d'entrée de jeu qu'elle est habilitée à signer pour *.truc.com, *.machin.fr, et ssl.bidule.net. Et si un certificat est vérifié par elle sur un autre domaine, je pête un joli avertissement (voire je refuse directement).

    Et tant qu'à faire, dans la procédure qui permet d'ajouter une CA, je montre de manière bien visible les domaines pour lesquels elle s'annonce. En rouge vif si la liste est trop longue et/ou contient trop de wildcards.