Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Erwann Abalea
Le #25084022
Le dimanche 23 décembre 2012 05:47:50 UTC+1, ptilou a écrit :
Y a t'il du nouveau pour eviter ce type d'attaque ?
(sur du SSL )



Rien de bien nouveau:
- vérifier le certificat obtenu, son état de révocation, son chaîn age avec une banque de confiance, sa cohérence avec le host souhaité
- faire de l'authentification client (avec certificat)
- éventuellement faire du cert/CA/key pinning.
- si DANE est utilisé, procéder aux vérifications.

À part DANE, et dans une moindre mesure le pinning, le reste est très c lassique.
Erwan David
Le #25084262
Erwann Abalea
Le dimanche 23 décembre 2012 05:47:50 UTC+1, ptilou a écrit :
Y a t'il du nouveau pour eviter ce type d'attaque ?
(sur du SSL )



Rien de bien nouveau:
- vérifier le certificat obtenu, son état de révocation, son chaînage avec une banque de confiance, sa cohérence avec le host souhaité
- faire de l'authentification client (avec certificat)
- éventuellement faire du cert/CA/key pinning.
- si DANE est utilisé, procéder aux vérifications.

À part DANE, et dans une moindre mesure le pinning, le reste est très classique.



Utiliser la RFC 5746 pour gérer les renégociations.


--
Les simplifications c'est trop compliqué
Publicité
Poster une réponse
Anonyme