Si j'ai tout bien compris à ce que j'ai lu sur les liens donnés par
une recherche Google sur "VeriSign Class 3 Secure Server CA", le
problème vient du fait que l'Issuer du nouveau certificat de ma
banque est un certificat intermédiaire, lui même signé par un certificat
racine reconnu par les navigateurs.
D'après
http://groups.google.com/group/mozilla.dev.security/browse_thread/thread/6830a8566de24547/0be9dea1c274d0c5 ,
si je comprends bien, l'administrateur de mon site de banque en ligne a
oublié une étape qui permettrait à Firefox de remonter la chaîne?
D'après http://groups.google.com/group/mozilla.dev.security/browse_thread/thread/6830a8566de24547/0be9dea1c274d0c5 , si je comprends bien, l'administrateur de mon site de banque en ligne a oublié une étape qui permettrait à Firefox de remonter la chaîne?
Une piste: as-tu installé sur Firefox les derniers certificats racines français ? (pour IE ils étaient dans les MàJ mensuelles)
D'après
http://groups.google.com/group/mozilla.dev.security/browse_thread/thread/6830a8566de24547/0be9dea1c274d0c5 ,
si je comprends bien, l'administrateur de mon site de banque en ligne a
oublié une étape qui permettrait à Firefox de remonter la chaîne?
Une piste: as-tu installé sur Firefox les derniers certificats racines
français ?
(pour IE ils étaient dans les MàJ mensuelles)
D'après http://groups.google.com/group/mozilla.dev.security/browse_thread/thread/6830a8566de24547/0be9dea1c274d0c5 , si je comprends bien, l'administrateur de mon site de banque en ligne a oublié une étape qui permettrait à Firefox de remonter la chaîne?
Une piste: as-tu installé sur Firefox les derniers certificats racines français ? (pour IE ils étaient dans les MàJ mensuelles)
Marrant qu'ils ne soient même pas sur une page en https... -- Th. Thomas.
Colin Leroy
On 14 April 2007 at 11h04, Erwan David wrote:
Hi,
La logique voudrait qu'on vire TOUS les certficats installés ar défaut et qu'on n'installe que ceux venant d'entité en lesquelles one a réellement confiance, avec réduction de l'usage aux situations correspondantes (on peut faire confiance au fabricant de son OS pour la mise à jour de celui-ci, pas pour dire que le site de ma banque est bien opéré par la banque elle-même).
Ça pose le problème de la récupération du certificat -- qui devra être faite "Out of band" par un autre moyen de communication, et ça se rapprocherait du concept de web of trust de PGP.
Mais je ne vois pas un utilisateur de base installer le certificat de sa banque via une clé USB fournie par le banquier :)
-- Colin
On 14 April 2007 at 11h04, Erwan David wrote:
Hi,
La logique voudrait qu'on vire TOUS les certficats installés ar défaut
et qu'on n'installe que ceux venant d'entité en lesquelles one a
réellement confiance, avec réduction de l'usage aux situations
correspondantes (on peut faire confiance au fabricant de son OS pour
la mise à jour de celui-ci, pas pour dire que le site de ma banque est
bien opéré par la banque elle-même).
Ça pose le problème de la récupération du certificat -- qui devra être
faite "Out of band" par un autre moyen de communication, et ça se
rapprocherait du concept de web of trust de PGP.
Mais je ne vois pas un utilisateur de base installer le certificat de
sa banque via une clé USB fournie par le banquier :)
La logique voudrait qu'on vire TOUS les certficats installés ar défaut et qu'on n'installe que ceux venant d'entité en lesquelles one a réellement confiance, avec réduction de l'usage aux situations correspondantes (on peut faire confiance au fabricant de son OS pour la mise à jour de celui-ci, pas pour dire que le site de ma banque est bien opéré par la banque elle-même).
Ça pose le problème de la récupération du certificat -- qui devra être faite "Out of band" par un autre moyen de communication, et ça se rapprocherait du concept de web of trust de PGP.
Mais je ne vois pas un utilisateur de base installer le certificat de sa banque via une clé USB fournie par le banquier :)
-- Colin
Nina Popravka
On 15 Apr 2007 16:47:41 GMT, Erwan David wrote:
Pourtant ce client sait-il que s'il n'a pas d'alerte c'ets juste parceque sont venus avec son browser des certificats de boites commerciales quidans les fait peuvent ne rien garantir par leur signature ?
Non, absolument personne dans le grand public ne sait ce qu'est un certificat. Et moi, je met régulièrement à jour des certificats de boîtes commerciales divers et variés, et j'avoue avoir un peu de mal à comprendre en quoi ça garantit quoi que ce soit. -- Nina
On 15 Apr 2007 16:47:41 GMT, Erwan David <erwan@rail.eu.org> wrote:
Pourtant ce client sait-il que s'il n'a pas d'alerte c'ets juste
parceque sont venus avec son browser des certificats de boites
commerciales quidans les fait peuvent ne rien garantir par leur
signature ?
Non, absolument personne dans le grand public ne sait ce qu'est un
certificat.
Et moi, je met régulièrement à jour des certificats de boîtes
commerciales divers et variés, et j'avoue avoir un peu de mal à
comprendre en quoi ça garantit quoi que ce soit.
--
Nina
Pourtant ce client sait-il que s'il n'a pas d'alerte c'ets juste parceque sont venus avec son browser des certificats de boites commerciales quidans les fait peuvent ne rien garantir par leur signature ?
Non, absolument personne dans le grand public ne sait ce qu'est un certificat. Et moi, je met régulièrement à jour des certificats de boîtes commerciales divers et variés, et j'avoue avoir un peu de mal à comprendre en quoi ça garantit quoi que ce soit. -- Nina