[gull] https et mozilla

Guillaume Lederrey Gehel-Lists at LedCom.ch
Tue Dec 9 19:08:02 CET 2003 

On Tue, 2003-12-09 at 17:30, Pierre Maitre wrote:
> Pour l'instant, comme le certificat n'est pas valable, mozilla s'arrête 
> là et refuse de continuer (que faire?), alors qu'avec Internet Explorer, 
> apparemment,  on peut répondre que l'on veut continuer (mais j'ignore si 
> la connection est alors sécurisée ou non)

  Petit rappel sur la crypto :

  Il y a deux points importants en crypto : le cryptage et
l'authentification.  Dans le cas évoqué, le cryptage est réalisé mais
pas l'authentification.  Le certificat sert en fait surtout à
l'authentification.  Ce qui sert à être sûr que le site auquel on se
connecte est bien celui qu'il prétend être.  Sans authentification, il
est possible (bien que relativement difficile) de se faire passer pour
quelqu'un d'autre.  Dans le cas présent, cela voudrait dire que vous
pourriez récupérer des données qui ne corespondent pas à la réalité.  Si
vous devez entrer des données, le risque est plus grand encore :
imaginer un site qui se fasse passer pour Amazon et sur lequel vous
entrez votre no de carte de crédit.

  Les autorités de certification (Verisign, ...) sont sensée se porter
garantes de l'authenticité des certificats qu'elles délivrent.  Elles
font malheureusement leur travaille avec un sérieux qui laisse à
désirer.

  Par contre, Mozilla (et sauf erreur Internet Explorer aussi) peuvent
stocker les certificats qu'ils recoivent et dans certains cas vous
avertir si ceux-ci changent (ce qui serait signe d'un probable problème
de sécurité).

  Malheureusement, pour le moment l'authentification sur Internet pose
de gros problèmes.  Le seul moyen sûr serait que votre administrateur
vous donne (de manière sûre) l'empreinte du certificat pour que vous
puissiez la vérifier.  Mais la procédure est lourde et peu
d'utilisateurs sont prêts à vérifier une suite de chiffre aléatoires à
chaque connexion sur un site web ...

	Guillaume LEDERREY
-------------- next part --------------
A non-text attachment was scrubbed...
Name: not available
Type: application/pgp-signature
Size: 232 bytes
Desc: This is a digitally signed message part
URL: <http://forum.linux-gull.ch/pipermail/gull/attachments/20031209/6b542dbc/attachment.pgp>

More information about the gull mailing list