3483Fermer3485
Kevin KoflerLe 03/09/2018 à 01:24
Zerosquare (./3482) :
1) Donc HSTS n'est pas implémenté correctement dans ton navigateur préféré. CQFD.
Le concept de logiciel libre signifie de toujours laisser le dernier choix à l'utilisateur, quoique dise la spécification.

2) Un certificat invalide est déjà une situation anormale, et ça l'est encore plus sur un site qui utilise HSTS. Si ça se produit, c'est que :
- soit celui qui gère le site n'a pas fait son boulot, et c'est lui qu'il faut blâmer
- soit quelqu'un est en train de faire une attaque man-in-the-middle, et dans ces cas-là tu n'as vraiment pas intérêt à ignorer l'avertissement
… soit le navigateur décide arbitrairement de refuser les certificats d'une CA très répandue qui a racheté plusieurs marques très populaires. roll

Et en ce qui concerne le MITM, il existe des entreprises où tout le trafic HTTP et HTTPS est obligatoirement scanné par le proxy et où tu ne peux donc pas te connecter en HTTPS sans MITM. (Le firewall bloque les connexions directes.) Si le navigateur ne te permet pas d'accepter le certificat bidon du proxy, il est inutilisable dans ces entreprises.