une question qui me taraude depuis très longtemps, et à laquelle je n'ai
trouvé qu'une réponse partielle (précisément dans les archives de ce
newsgroup): lorsqu'une applet java me propose de valider un certificat de
sécurité me précisant un truc genre "RoToTo certifie que cette application
est sûre", est-ce que je dois forcément le croire? Qui me dit que RoToTo
n'est pas un gros margoulin, voire le créateur même de l'applet dans
laquelle il aura glissé un gros backdoor dedans?
En corollaire, où puis-je trouver une liste d'organismes sérieux de
certification, et qu'est-ce qui m'assure que le nom affiché dans le
certificat (par exemple Thawte...) n'est pas un fake (c'est à dire: si je
vois d'écrit que Thawte a certifié cette applet, est-ce forcément vrai)?
Merci d'avance de vos réponses et bien à vous tous,
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Philippe
La sécurisation des applets suit les principes de base en matière de signature électonique: à savoir que les algorithmes reposent sur 2 clés auquel tu ajoutes un tiers de confiance (l'organisme de certification) ... Le tiers de confiance à en charge la vérification de l'émetteur!
Le certificat contient la clé de chiffrement ainsi que les infos sur ton émetteur...
Bref: - tu peux faire confiance aux organismes de certification (par exemple Thawte...) - si tu fais confiance à l'émetteur... tu es sûr du contenu de ton applet ! - si tu ne connaîs pas l'émetteur tu ne peux te reposer que sur les vérifications de l'organisme de certification !
Conclusion: toujours être prudent si tu ne connaîs pas RoToTo... -- Philippe "Patrice" a écrit dans le message de news:iikk81$ri8$
Bonjour à tous,
une question qui me taraude depuis très longtemps, et à laquelle je n'ai trouvé qu'une réponse partielle (précisément dans les archives de ce newsgroup): lorsqu'une applet java me propose de valider un certificat de sécurité me précisant un truc genre "RoToTo certifie que cette application est sûre", est-ce que je dois forcément le croire? Qui me dit que RoToTo n'est pas un gros margoulin, voire le créateur même de l'applet dans laquelle il aura glissé un gros backdoor dedans?
En corollaire, où puis-je trouver une liste d'organismes sérieux de certification, et qu'est-ce qui m'assure que le nom affiché dans le certificat (par exemple Thawte...) n'est pas un fake (c'est à dire: si je vois d'écrit que Thawte a certifié cette applet, est-ce forcément vrai)?
Merci d'avance de vos réponses et bien à vous tous,
PC
La sécurisation des applets suit les principes de base en matière de
signature électonique: à savoir que les algorithmes reposent sur 2 clés
auquel tu ajoutes un tiers de confiance (l'organisme de certification) ...
Le tiers de confiance à en charge la vérification de l'émetteur!
Le certificat contient la clé de chiffrement ainsi que les infos sur ton
émetteur...
Bref:
- tu peux faire confiance aux organismes de certification (par exemple
Thawte...)
- si tu fais confiance à l'émetteur... tu es sûr du contenu de ton applet !
- si tu ne connaîs pas l'émetteur tu ne peux te reposer que sur les
vérifications de l'organisme de certification !
Conclusion: toujours être prudent si tu ne connaîs pas RoToTo...
--
Philippe
"Patrice" <patrice@nospam.fr> a écrit dans le message de
news:iikk81$ri8$1@speranza.aioe.org...
Bonjour à tous,
une question qui me taraude depuis très longtemps, et à laquelle je n'ai
trouvé qu'une réponse partielle (précisément dans les archives de ce
newsgroup): lorsqu'une applet java me propose de valider un certificat de
sécurité me précisant un truc genre "RoToTo certifie que cette application
est sûre", est-ce que je dois forcément le croire? Qui me dit que RoToTo
n'est pas un gros margoulin, voire le créateur même de l'applet dans
laquelle il aura glissé un gros backdoor dedans?
En corollaire, où puis-je trouver une liste d'organismes sérieux de
certification, et qu'est-ce qui m'assure que le nom affiché dans le
certificat (par exemple Thawte...) n'est pas un fake (c'est à dire: si je
vois d'écrit que Thawte a certifié cette applet, est-ce forcément vrai)?
Merci d'avance de vos réponses et bien à vous tous,
La sécurisation des applets suit les principes de base en matière de signature électonique: à savoir que les algorithmes reposent sur 2 clés auquel tu ajoutes un tiers de confiance (l'organisme de certification) ... Le tiers de confiance à en charge la vérification de l'émetteur!
Le certificat contient la clé de chiffrement ainsi que les infos sur ton émetteur...
Bref: - tu peux faire confiance aux organismes de certification (par exemple Thawte...) - si tu fais confiance à l'émetteur... tu es sûr du contenu de ton applet ! - si tu ne connaîs pas l'émetteur tu ne peux te reposer que sur les vérifications de l'organisme de certification !
Conclusion: toujours être prudent si tu ne connaîs pas RoToTo... -- Philippe "Patrice" a écrit dans le message de news:iikk81$ri8$
Bonjour à tous,
une question qui me taraude depuis très longtemps, et à laquelle je n'ai trouvé qu'une réponse partielle (précisément dans les archives de ce newsgroup): lorsqu'une applet java me propose de valider un certificat de sécurité me précisant un truc genre "RoToTo certifie que cette application est sûre", est-ce que je dois forcément le croire? Qui me dit que RoToTo n'est pas un gros margoulin, voire le créateur même de l'applet dans laquelle il aura glissé un gros backdoor dedans?
En corollaire, où puis-je trouver une liste d'organismes sérieux de certification, et qu'est-ce qui m'assure que le nom affiché dans le certificat (par exemple Thawte...) n'est pas un fake (c'est à dire: si je vois d'écrit que Thawte a certifié cette applet, est-ce forcément vrai)?
Merci d'avance de vos réponses et bien à vous tous,
PC
Testman
On 05/02/2011 23:50, Patrice wrote:
Bonjour à tous,
une question qui me taraude depuis très longtemps, et à laquelle je n'ai trouvé qu'une réponse partielle (précisément dans les archives de ce newsgroup): lorsqu'une applet java me propose de valider un certificat de sécurité me précisant un truc genre "RoToTo certifie que cette application est sûre", est-ce que je dois forcément le croire? Qui me dit que RoToTo n'est pas un gros margoulin, voire le créateur même de l'applet dans laquelle il aura glissé un gros backdoor dedans?
En corollaire, où puis-je trouver une liste d'organismes sérieux de certification, et qu'est-ce qui m'assure que le nom affiché dans le certificat (par exemple Thawte...) n'est pas un fake (c'est à dire: si je vois d'écrit que Thawte a certifié cette applet, est-ce forcément vrai)?
Merci d'avance de vos réponses et bien à vous tous,
PC
Bonjour Patrice,
Un certificat n'est généralement pas atomique, mais est une chaine de certificat (de la racine à la plus petite entité représentée). Pour que cette chaine soit de confiance, il faut généralement deux choses: - que la racine soit de confiance et plus généralement que le chemin formé par la chaine de certificat soit de confiance (voir java.security.cert.CertPathValidator par exemple) - que la profondeur de la chaine ne dépasse pas un seuil (pas vu de tel parametre sur la JVM !?!)
Au passage, il faut rappeler que Java gère son propre contexte de sécu. Certificat de clé racines de confiance, algorithmes appliqués, tout est sous le contrôle de Java.
Exception à la règle: sous Windows et IE depuis la 6u10 avec son nouveau plugin, Java utilise la MSCAPI par défaut au lieu de son propre fournisseur.
Pour Java, aller dans le panneau de configuration Java, deux sections importantes : - AC de signature : validation d'AC utilisé en mode signature - AC de site sécurisé : validation d'AC utilisée pour HTTPS (mode authentification)
Java se base ainsi directement sur ces listes des racines de confiances configurées: Le certificat racine candidat est comparé à la liste des racines de confiance, s'il y a un certificat valide qui correspond, il est de confiance.
En reprenant votre exemple, si le certificat uutil Rototo est dans la liste des AC de confiances, une boite sera affichée avec un message positif, dans le cas contraire un avertissement sera effectué (paramétrage possible sur ces points dans le paneau de contrôle)
Selon les configuration, la liste des racines de confiance se situe soit coté Java soit dans la gestion spécifique au SE.
Bon, pour la version complète, il faudrait parler de CertPath, des révocations, etc...
A+ TM
On 05/02/2011 23:50, Patrice wrote:
Bonjour à tous,
une question qui me taraude depuis très longtemps, et à laquelle je n'ai
trouvé qu'une réponse partielle (précisément dans les archives de ce
newsgroup): lorsqu'une applet java me propose de valider un certificat
de sécurité me précisant un truc genre "RoToTo certifie que cette
application est sûre", est-ce que je dois forcément le croire? Qui me
dit que RoToTo n'est pas un gros margoulin, voire le créateur même de
l'applet dans laquelle il aura glissé un gros backdoor dedans?
En corollaire, où puis-je trouver une liste d'organismes sérieux de
certification, et qu'est-ce qui m'assure que le nom affiché dans le
certificat (par exemple Thawte...) n'est pas un fake (c'est à dire: si
je vois d'écrit que Thawte a certifié cette applet, est-ce forcément vrai)?
Merci d'avance de vos réponses et bien à vous tous,
PC
Bonjour Patrice,
Un certificat n'est généralement pas atomique, mais est une chaine de
certificat (de la racine à la plus petite entité représentée). Pour que
cette chaine soit de confiance, il faut généralement deux choses:
- que la racine soit de confiance et plus généralement que le chemin
formé par la chaine de certificat soit de confiance (voir
java.security.cert.CertPathValidator par exemple)
- que la profondeur de la chaine ne dépasse pas un seuil (pas vu de
tel parametre sur la JVM !?!)
Au passage, il faut rappeler que Java gère son propre contexte de sécu.
Certificat de clé racines de confiance, algorithmes appliqués, tout est
sous le contrôle de Java.
Exception à la règle: sous Windows et IE depuis la 6u10 avec son nouveau
plugin, Java utilise la MSCAPI par défaut au lieu de son propre fournisseur.
Pour Java, aller dans le panneau de configuration Java,
deux sections importantes :
- AC de signature : validation d'AC utilisé en mode signature
- AC de site sécurisé : validation d'AC utilisée pour HTTPS (mode
authentification)
Java se base ainsi directement sur ces listes des racines de confiances
configurées: Le certificat racine candidat est comparé à la liste des
racines de confiance, s'il y a un certificat valide qui correspond, il
est de confiance.
En reprenant votre exemple, si le certificat uutil Rototo est dans la
liste des AC de confiances, une boite sera affichée avec un message
positif, dans le cas contraire un avertissement sera effectué
(paramétrage possible sur ces points dans le paneau de contrôle)
Selon les configuration, la liste des racines de confiance se situe soit
coté Java soit dans la gestion spécifique au SE.
Bon, pour la version complète, il faudrait parler de CertPath, des
révocations, etc...
une question qui me taraude depuis très longtemps, et à laquelle je n'ai trouvé qu'une réponse partielle (précisément dans les archives de ce newsgroup): lorsqu'une applet java me propose de valider un certificat de sécurité me précisant un truc genre "RoToTo certifie que cette application est sûre", est-ce que je dois forcément le croire? Qui me dit que RoToTo n'est pas un gros margoulin, voire le créateur même de l'applet dans laquelle il aura glissé un gros backdoor dedans?
En corollaire, où puis-je trouver une liste d'organismes sérieux de certification, et qu'est-ce qui m'assure que le nom affiché dans le certificat (par exemple Thawte...) n'est pas un fake (c'est à dire: si je vois d'écrit que Thawte a certifié cette applet, est-ce forcément vrai)?
Merci d'avance de vos réponses et bien à vous tous,
PC
Bonjour Patrice,
Un certificat n'est généralement pas atomique, mais est une chaine de certificat (de la racine à la plus petite entité représentée). Pour que cette chaine soit de confiance, il faut généralement deux choses: - que la racine soit de confiance et plus généralement que le chemin formé par la chaine de certificat soit de confiance (voir java.security.cert.CertPathValidator par exemple) - que la profondeur de la chaine ne dépasse pas un seuil (pas vu de tel parametre sur la JVM !?!)
Au passage, il faut rappeler que Java gère son propre contexte de sécu. Certificat de clé racines de confiance, algorithmes appliqués, tout est sous le contrôle de Java.
Exception à la règle: sous Windows et IE depuis la 6u10 avec son nouveau plugin, Java utilise la MSCAPI par défaut au lieu de son propre fournisseur.
Pour Java, aller dans le panneau de configuration Java, deux sections importantes : - AC de signature : validation d'AC utilisé en mode signature - AC de site sécurisé : validation d'AC utilisée pour HTTPS (mode authentification)
Java se base ainsi directement sur ces listes des racines de confiances configurées: Le certificat racine candidat est comparé à la liste des racines de confiance, s'il y a un certificat valide qui correspond, il est de confiance.
En reprenant votre exemple, si le certificat uutil Rototo est dans la liste des AC de confiances, une boite sera affichée avec un message positif, dans le cas contraire un avertissement sera effectué (paramétrage possible sur ces points dans le paneau de contrôle)
Selon les configuration, la liste des racines de confiance se situe soit coté Java soit dans la gestion spécifique au SE.
Bon, pour la version complète, il faudrait parler de CertPath, des révocations, etc...
