[gull] https et mozilla

[Marc SCHAEFER]

On Tue, Dec 09, 2003 at 08:07:02PM +0100, Guillaume Lederrey wrote:
> est possible (bien que relativement difficile) de se faire passer pour

Pas forcément, en particulier avec une attaque DNS. Ou une
attaque humaine (p.ex. taper pasport.com au lieu de passport.com,
et dans ce cas, le certificat serait peut-être même valide
mais non attribué à Microsoft).

>   Les autorités de certification (Verisign, ...) sont sensée se porter
> garantes de l'authenticité des certificats qu'elles délivrent.  Elles
> font malheureusement leur travaille avec un sérieux qui laisse à
> désirer.

Pour diverses raisons, la seule façon véritable d'assurer l'authenticité
du certificat est de vérifier son empreinte (fingerprint) au travers
d'un canal sûr.

>   Par contre, Mozilla (et sauf erreur Internet Explorer aussi) peuvent
> stocker les certificats qu'ils recoivent et dans certains cas vous
> avertir si ceux-ci changent (ce qui serait signe d'un probable problème
> de sécurité).

Ou de la mise à jour de celui-ci ... suite à sa révocation ou
l'expiration de la clé.

> de gros problèmes.  Le seul moyen sûr serait que votre administrateur
> vous donne (de manière sûre) l'empreinte du certificat pour que vous
> puissiez la vérifier.  Mais la procédure est lourde et peu

Pour commenter, je dirais que p.ex. Yellownet ne sait pas ce qu'est
une empreinte (si vous téléphonez au support), et ne la communique
apparemment pas par courrier.