Meowcate (./482) :Bah non, parce que le HTTP non crypté comporte tous les risques du HTTPS avec un certificat invalide (plus celui d'écoute passive).Kevin Kofler (./480) :Plutôt l'absence de centrale. Inutile de se demander alors si elle est bien protégée ou non. En revanche on ne profite pas des avantages.
Si on continue ton analogie, alors le HTTP non crypté est l'équivalent de Tchernobyl, tout le monde sait que ce n'est pas sûr.
flanker (./483) :Il faut donc signaler la fiabilité du certificat de manière non-intrusive (et aussi signaler le HTTP non crypté comme non fiable de la même manière), et non pas embêter l'utilisateur avec des manipulations tordues à faire pour voir le site voulu.
./477 >Si on ne signale pas le certificat invalide quand on est sûr un site amateur, ça veut dire qu'on ne le signale pas non plus quand on est sur le site d'une banque.
Si on ne signale pas le certificat invalide quand on est sûr un site amateur, ça veut dire qu'on ne le signale pas non plus quand on est sur le site d'une banque.Un certificat « autosigné » (en fait, ce n'est pas le problème, le problème est que la chaîne de confiance est invalide) est un certificat définit comme *invalide* dans TLS au même titre qu'un certificat révoqué ou périmé, et c'est normal que TLS le rejette.Et ça profite avant tout au cartel des signatures, qui s'est fait de l'argent pendant des années sur le dos des webmasters en profitant de ce système de confiance centralisé.
(D'ailleurs, à mon avis, les navigateurs devraient par défaut complètement ignorer la date d'expiration, qui sert avant tout à assurer un flux d'argent constant vers les autorités de certification (et aussi limiter artificiellement l'utilisabilité des certificats gratuits à une période d'essai).)
Gratuit pour quelque chose comme 90 jours (voire 30 chez certains)… Mais bon, si le lancement de Let's Encrypt n'est pas repoussé encore une fois, 90 jours suffiront pour combler l'attente.Zerosquare (./477) :C'est même gratuit !
- enfin, ça ne coûte pas grand-chose d'avoir un vrai certificat signé. Et pour ceux qui refusent de dépenser le moindre sou ou qui sont dans environnement privé, on peut toujours rajouter manuellement un certificat auto-signé dans la liste blanche du navigateur.
Uther (./487) :Et l'ancienne solution était la bonne. C'est dingue que les développeurs choisissent de punir tout le monde à cause d'utilisateurs cons.Zeph (./484) :Pendant un moment Firefox faisait plus ou moins ça en affichant un cadenas orange pour un certificat invalide contre un cadenas vert pour un certificat valide, mais ils se sont rendus compte qu'en pratique ça induisait beaucoup trop en erreur. La majorité des utilisateurs croient à tort leur connexion sécurisée des qu'ils voient un cadenas ou "https".
Dans ce cas il ne manque pas un protocole intermédiaire qui serait "connexion chiffrée mais sans authentification",