Les CAs payantes sont un business de rente fort lucratif car l'effort requis est très faible, tout comme les anti-virus payants sont un business de rente basé sur des solutions fort inefficaces et la peur des gens; il est une bonne chose pour les utilisateurs qu'il y ait des CAs gratuites (pour avoir des sites qui font moins de gros warnings rouges sur les browsers, peu importe ce qui se passe derrière) et des AVs gratuits (pas plus inefficaces que les autres en moyenne).
Mais je ne pense pas qu'il soit cohérent que les principaux browsers contiennent la CA Starcom "sign everything", alors qu'ils ne contiennent pas la CA CAcert. Ils devraient contenir les deux... HTTPS ne doit pas être réservé aux sites de paiement en ligne.
Lionel : le HTTPS sans certificat "sûr" n'est pas une bonne chose, ça donne au contraire une illusion de sécurité qui peut être dangereuse (ça permet par exemple de faire des attaques man-in-the-middle sans que l'utilisateur ne se rende compte de rien)
—
Zeroblog —
« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » —
Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » —
GT TurboIl faut jouer sur l'affichage de la barre d'adresse alors. Mais l'alternative d'utiliser du HTTP non crypté est pire! Je ne vois pas pourquoi les navigateurs me tabassent de warnings si j'utilise un site HTTPS avec un certificat self-signed, alors que si j'utilise le même site en HTTP (ce qui n'est pas plus sûr), ils le trouvent parfaitement normal. Au moins le HTTPS évite les attaques passives (genre sniffe tout et grep "cookie"). Et un man-in-the-middle peut parfois être reconnu au simple fait que le certificat a changé, même si le certificat n'était pas sûr à la base.
Zeph Le 30/09/2012 à 17:14 Une fois n'est pas coutume, mais je suis tout à fait de l'avis de Kevin. Il existe des extensions qui enregistrent l'autorité utilisée pour signer un certificat lors de la première visite d'un site, et qui lancent un avertissement si cette autorité change lors des visites suivantes (Certificate Patrol pour Firefox, par exemple). Ça permet d'éviter à peu près toutes les attaques man-in-the-middle, et sans avoir besoin d'afficher des grosses erreurs en rouge à l'utilisateur chaque fois qu'il se rend sur un site. Il me semble que SSH fonctionne sur ce principe (fingerprint à la première connexion), et pour autant on ne le considère pas comme "peu sûr".
Si les certificats étaient gérés de cette façon, au lieu des avertissements complètement débiles qu'on a dans les navigateurs aujourd'hui, ça inciterait beaucoup plus les webmasters à utiliser du HTTPS sans craindre de perdre (litéralement) leurs utilisateurs.
All right. Keep doing whatever it is you think you're doing.
------------------------------------------
Besoin d'aide sur le site ? Essayez
par ici :)
vince Le 30/09/2012 à 17:16 PS : l'utilisateur lambda n'est pas développeur...
J'ai lu (dans la même veine de débats) que le verrou allait être viré au profit de la couleur de la barre d'adresse : certains sites ont déjà réussi à duper les utilisateurs avec une favicon... (et t'as une bande d'extremistes qui pense que ça justifie l'arrêt du support de la favicon)
Il faudrait deux types de certificats, ceux qui permettent uniquement de chiffrer la connexion (donc une simple clef privée, en pratique), et ceux permettant de certifier le site.
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)
<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant
Pour moi, la solution est simple, on affiche les sites en HTTPS avec clé non validée comme "https+insecure://" dans la barre d'adresses, et sinon exactement comme du HTTP non crypté (pas de coloration jaune etc.) et on n'a plus besoin de mettre des avertissements dans tous les sens. (Et si l'utilisateur veut savoir pourquoi "+insecure", il y a un bouton pour les détails sur le certificat, comme d'habitude en HTTPS.)
Les navigateurs qui cachent le "http://" le font bien…
Et la spec dit que "+machin" est un flag supplémentaire pour le protocole, cf. par exemple "+ssl".
Et enfin, il suffirait de standardiser https+insecure dans un RFC (disant notamment qu'il ne devrait pas y avoir plus d'avertissements que pour du http non crypté) et ça deviendrait une URL réelle que les sites pourraient aussi utiliser.
L'utilisateur moyen ne regarde pas l'URL après l'avoir tapée.
—
Zeroblog —
« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » —
Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » —
GT TurboL'utilisateur moyen ne tape pas une URL. Il clique sur un lien, soit dans un moteur de recherche, soit ailleurs.
Non, tu es franchement trop catégorique, simplement l'utilisateur moyen ne connaît qu'une poignée d'urls qu'il a "besoin" de taper, avant d'en faire ses favoris, ou de l'ajouter a ses flux RSS.
"- Nigga you know what the fuck I want, nigga: I want your motherfuckin' Daytons, and your motherfuckin' stereo! And I'll take a double burger with cheese!
- WHUT?"
I LOVE TO HATE/I HATE YOUR LOVE -AND I CAN'T FEEL AFFECTION FOR PEOPLE LIKE YOU!
CAALGOOONNNNN [TELLMESOMETHINGIDONTKNOW SHOWMESOMETHINGICANTUSE PUSHTHEBUTTONS CONNECTTHEGODDAMNDOTS] (Si Dieu existe il doit me détester...)je connais des gens qui tapent "free" "marmiton" ou "gmail" dans google pour aller sur leur site...
tu réinventes un peu la roue kevin, les certificats valides s'affichent en vert, ceux qui sont pas vérifiés mais valides s'affichent en jaune.
Kevin > grâce à la couleur du fond. Les URL HTTP sont sur fond blanc.
Nil (et les autres) : ça c'est uniquement s'il y a une détection de modification de certificat par rapport à la fois précédente (et encore, ça ne marche pas si ce cache de certificats est effacé, ou si dès le début le certificat est truandé ; il me semble que certaines entreprises font ça pour déchiffrer en douce le trafic HTTPS).
Une connexion HTTPS avec un certificat "douteux" n'est pas plus sûre qu'une connexion HTTP : comme on ne sait pas qui possède réellement le certificat, on ne sait pas non plus qui peut espionner le trafic.
—
Zeroblog —
« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » —
Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » —
GT Turbo very Le 30/09/2012 à 23:36 "certains peuvent éventuellement" plutôt que "tout le monde peut tout le temps", ce n'est pas vraiment la même chose amha. (bien que formellement la protection n'est pas plus forte, ça risque néanmoins d'être un peu plus discret en pratique )
De toute manière aucun certificat n'est "sûr".
«Les gens exigent la liberté d’expression pour compenser la liberté de pensée qu’ils préfèrent éviter.» - Sören Kierkegaard
La République, c’est comme la syphilis : quand on l’a attrapée, soit on se fait sauter le caisson, soit on essaie de vivre avec.
Parce qu'on a éduqué les gens à croire que HTTPS = sécurité dans tous les cas, ce qui est faux. C'est regrettable, mais c'est comme ça.
—
Zeroblog —
« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » —
Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » —
GT Turbo Nil Le 30/09/2012 à 23:51 Sauf que "les gens" ne regardent pas "https", mais l'icône de sécurité et les messages du navigateur. Les autres, ceux "qui savent", ne sont pas à éduquer.
J'ai déjà vu plusieurs fois des conseils pour le grand public qui parlaient de "vérifier que l'adresse commence par https (et non http)", en plus de la mention de l'icône du cadenas.
—
Zeroblog —
« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » —
Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » —
GT Turbo
