18111813Close
NilOn the 2019-04-18 at 02:31pm
Je vois difficilement comment les tuiles pourraient vérifier que le certificat soit le bon ou pas : a priori le certificat utilisé par buildmypinnedsite.com est enregistré avec des wildcards, et avec d'autres noms de domaines que buildmypinnedsite.com

(Le certificat est seulement valide pour les noms suivants : *.azurewebsites.net, *.scm.azurewebsites.net, *.azure-mobile.net, *.scm.azure-mobile.net, *.sso.azurewebsites.net)
Ensuite, les certificats utilisés par Microsoft ont des entités de confiance non homogènes (www.azurewebsites.net, skype.com et www.microsoft.com sont certifiés par Microsoft ; mais live.com est certifié par DigiCert trifus et il n'y a jamais d'identité du propriétaire au niveau du certificat). Du coup, pour peu que tu diffuses une tuile à un instant t et que tu ne mettes pas à jour le mécanisme de contrôle du certificat, tu peux te retrouver à refuser la connexion pour peu que Microsoft chance de provider. Sans compter que je ne sais pas comment c'est géré pour les sous-domaines de buildmypinnedsite.com (pour autant qu'il y ait la possibilité d'avoir des certificats par sous-domaines dans leur mode de fonctionnement), mais dans la mesure où la personne a acquis légalement notifications.buildmypinnedsite.com il n'y a pas de raison qu'il ne puisse pas y avoir un certificat indiquant qu'il est légitime...