ignorée? Si vous ne configurez pas vos logiciels pour valider un
certificat par rapport à la CRL de son AC, c'est purement et simplement
votre problème.
C'est où dans Windows (je parle bien de l'OS et pas d'une application
s'exécutant sur cet OS) qu'on configure
1) la liste des AC reconnues
2) les CRLs employées ?
Perso, je ne sais pas moi-meme, mais n'étant pas sous windows, ca m'est
égal. Je doute que cela soit très connu. C'est peut-etre meme impossible
à faire ?
Pour le certificat MS en question la bourde est ``réparée'' sous forme de
patch à Windows via Windows Update & co !
ignorée? Si vous ne configurez pas vos logiciels pour valider un
certificat par rapport à la CRL de son AC, c'est purement et simplement
votre problème.
C'est où dans Windows (je parle bien de l'OS et pas d'une application
s'exécutant sur cet OS) qu'on configure
1) la liste des AC reconnues
2) les CRLs employées ?
Perso, je ne sais pas moi-meme, mais n'étant pas sous windows, ca m'est
égal. Je doute que cela soit très connu. C'est peut-etre meme impossible
à faire ?
Pour le certificat MS en question la bourde est ``réparée'' sous forme de
patch à Windows via Windows Update & co !
ignorée? Si vous ne configurez pas vos logiciels pour valider un
certificat par rapport à la CRL de son AC, c'est purement et simplement
votre problème.
C'est où dans Windows (je parle bien de l'OS et pas d'une application
s'exécutant sur cet OS) qu'on configure
1) la liste des AC reconnues
2) les CRLs employées ?
Perso, je ne sais pas moi-meme, mais n'étant pas sous windows, ca m'est
égal. Je doute que cela soit très connu. C'est peut-etre meme impossible
à faire ?
Pour le certificat MS en question la bourde est ``réparée'' sous forme de
patch à Windows via Windows Update & co !
Erwann ABALEA wrote:Leur plate forme est mutualisée, ce qui signifie que c'est strictement la
même pour délivrer des certificats serveurs que des certificats
utilisateurs (et autres). S'ils avaient à maintenir une plate forme
séparée juste pour des certificats utilisateurs sous leur AC (machines,
surface, electricité, contrats de maintenance, temps d'administration,
gestion des pannes, etc), le coût aurait été sensiblement supérieur. C'est
tout l'intérêt de la mutualisation.
Ok, très bien.
Mais qu'en est-il de la qualité du certificat utilisateur par rapport au
certificat de serveur ? Les usages ne sont pas les mêmes nous sommes
d'accord mais parfois, je dis bien parfois, la qualité demandée à un
cerificat utilisateur surpasse celle que l'on est en droit d'attendre d'un
certif serveur.
Coment cela se passe-t-il alors che les << grands >>.
Osent-ils conseiller alors de créer sa propre AC ?
Non. Je n'ai pas assez mis en avant le "(je le sais)", mais ça veut bien
dire ce que ça veut dire. Malheureusement, je ne peux pas en dire plus,
mais vous devriez arriver à imaginer quelque chose qui pourrait être non
loin de la vérité. ;)
Hum, pour ma part je refuse le soi-disant << faites nous confiance >>. C'est
ce que répètent les banquiers, machinalement, à longueur de jour en ce qui
concerne la sécurité des paiements par CB. Or, << je sais bien >> qu'il
n'en est rien !
Pourquoi en serait-il différemment chez un prestataire de certificats ?
Parce que VOUS l'ASSUREZ ?
Désolé, ça ne me suffit pas. En d'autres termes votre parole ne me suffit
pas et ce, quel que soit le niveau d'expertise auquel vous intervenez.
Et cela me suffira d'autant moins que la prestation réalisée par ledit
prestataire sera médiatisée.
[...]Bien sûr. L'erreur est humaine, ce ne sont pas des machines qui font le
travail. De plus, il s'agit d'une seule erreur. En connaissez-vous
d'autres?
A mon avis si une erreur aussi médiatique s'est glissée bien d'autres
ont eu lieu et courrent encore aujourd'hui.
En sécurité comme en mathématique un seul contre-exemple fiche le théorème
par terre.N'avez-vous jamais fait d'erreur vous-même, même dans l'exercice
de votre métier, ce pour quoi on vous paye?
Oh que si, et heureusement, mais je ne pèse pas plusieurs milliards de
dollars
et ne dispose donc pas de l'infrastructure adéquate pour éviter ce genre de
désagrément.
Je ne prétends pas délivrer de certificats à la planète entière ni
Ce que je veux dire également c'est que l'attribution des certificats est
avant tout un travail de proximité et certainement pas un boulot à
dimension planétaire.
Je vois mal comment une boîte étrangère pourrait enquêter sur la justesse
d'une demande française. Via sa filliale ?
Raison pour laquelle je privilégie les tiers de confiance français et
préférence sans techno étrangère impliquée !
Parlons-en de la confiance justement, car c'est de cela dont il est
question.
Selon moi, aujourd'hui, pour un périmètre relativement restreint d'acteurs,
une communauté, par exemple celle de l'automobile en France (qui comprend
les constructeurs et les fournisseurs) il est bien plus intéressant et
économique de gérer elle-même sa confiance plutôt que de faire confiance à
une entité étrangère à cette communauté.
A une échelle plus petite si vous me connaissez bien et que nous nous voyons
régulièrement (et pouvons donc en parler) je pense que vous ferez davantage
confiance à un certif racine émis par moi-même plutôt qu'un certif racine
émis par une autorité reconnue. N'est-ce pas ?
Ceci d'autant que peu de personnes, peu d'applications vont vérifier la
réalité du certificat racine de l'autorité reconnue.
Erwann ABALEA wrote:
Leur plate forme est mutualisée, ce qui signifie que c'est strictement la
même pour délivrer des certificats serveurs que des certificats
utilisateurs (et autres). S'ils avaient à maintenir une plate forme
séparée juste pour des certificats utilisateurs sous leur AC (machines,
surface, electricité, contrats de maintenance, temps d'administration,
gestion des pannes, etc), le coût aurait été sensiblement supérieur. C'est
tout l'intérêt de la mutualisation.
Ok, très bien.
Mais qu'en est-il de la qualité du certificat utilisateur par rapport au
certificat de serveur ? Les usages ne sont pas les mêmes nous sommes
d'accord mais parfois, je dis bien parfois, la qualité demandée à un
cerificat utilisateur surpasse celle que l'on est en droit d'attendre d'un
certif serveur.
Coment cela se passe-t-il alors che les << grands >>.
Osent-ils conseiller alors de créer sa propre AC ?
Non. Je n'ai pas assez mis en avant le "(je le sais)", mais ça veut bien
dire ce que ça veut dire. Malheureusement, je ne peux pas en dire plus,
mais vous devriez arriver à imaginer quelque chose qui pourrait être non
loin de la vérité. ;)
Hum, pour ma part je refuse le soi-disant << faites nous confiance >>. C'est
ce que répètent les banquiers, machinalement, à longueur de jour en ce qui
concerne la sécurité des paiements par CB. Or, << je sais bien >> qu'il
n'en est rien !
Pourquoi en serait-il différemment chez un prestataire de certificats ?
Parce que VOUS l'ASSUREZ ?
Désolé, ça ne me suffit pas. En d'autres termes votre parole ne me suffit
pas et ce, quel que soit le niveau d'expertise auquel vous intervenez.
Et cela me suffira d'autant moins que la prestation réalisée par ledit
prestataire sera médiatisée.
[...]
Bien sûr. L'erreur est humaine, ce ne sont pas des machines qui font le
travail. De plus, il s'agit d'une seule erreur. En connaissez-vous
d'autres?
A mon avis si une erreur aussi médiatique s'est glissée bien d'autres
ont eu lieu et courrent encore aujourd'hui.
En sécurité comme en mathématique un seul contre-exemple fiche le théorème
par terre.
N'avez-vous jamais fait d'erreur vous-même, même dans l'exercice
de votre métier, ce pour quoi on vous paye?
Oh que si, et heureusement, mais je ne pèse pas plusieurs milliards de
dollars
et ne dispose donc pas de l'infrastructure adéquate pour éviter ce genre de
désagrément.
Je ne prétends pas délivrer de certificats à la planète entière ni
Ce que je veux dire également c'est que l'attribution des certificats est
avant tout un travail de proximité et certainement pas un boulot à
dimension planétaire.
Je vois mal comment une boîte étrangère pourrait enquêter sur la justesse
d'une demande française. Via sa filliale ?
Raison pour laquelle je privilégie les tiers de confiance français et
préférence sans techno étrangère impliquée !
Parlons-en de la confiance justement, car c'est de cela dont il est
question.
Selon moi, aujourd'hui, pour un périmètre relativement restreint d'acteurs,
une communauté, par exemple celle de l'automobile en France (qui comprend
les constructeurs et les fournisseurs) il est bien plus intéressant et
économique de gérer elle-même sa confiance plutôt que de faire confiance à
une entité étrangère à cette communauté.
A une échelle plus petite si vous me connaissez bien et que nous nous voyons
régulièrement (et pouvons donc en parler) je pense que vous ferez davantage
confiance à un certif racine émis par moi-même plutôt qu'un certif racine
émis par une autorité reconnue. N'est-ce pas ?
Ceci d'autant que peu de personnes, peu d'applications vont vérifier la
réalité du certificat racine de l'autorité reconnue.
Erwann ABALEA wrote:Leur plate forme est mutualisée, ce qui signifie que c'est strictement la
même pour délivrer des certificats serveurs que des certificats
utilisateurs (et autres). S'ils avaient à maintenir une plate forme
séparée juste pour des certificats utilisateurs sous leur AC (machines,
surface, electricité, contrats de maintenance, temps d'administration,
gestion des pannes, etc), le coût aurait été sensiblement supérieur. C'est
tout l'intérêt de la mutualisation.
Ok, très bien.
Mais qu'en est-il de la qualité du certificat utilisateur par rapport au
certificat de serveur ? Les usages ne sont pas les mêmes nous sommes
d'accord mais parfois, je dis bien parfois, la qualité demandée à un
cerificat utilisateur surpasse celle que l'on est en droit d'attendre d'un
certif serveur.
Coment cela se passe-t-il alors che les << grands >>.
Osent-ils conseiller alors de créer sa propre AC ?
Non. Je n'ai pas assez mis en avant le "(je le sais)", mais ça veut bien
dire ce que ça veut dire. Malheureusement, je ne peux pas en dire plus,
mais vous devriez arriver à imaginer quelque chose qui pourrait être non
loin de la vérité. ;)
Hum, pour ma part je refuse le soi-disant << faites nous confiance >>. C'est
ce que répètent les banquiers, machinalement, à longueur de jour en ce qui
concerne la sécurité des paiements par CB. Or, << je sais bien >> qu'il
n'en est rien !
Pourquoi en serait-il différemment chez un prestataire de certificats ?
Parce que VOUS l'ASSUREZ ?
Désolé, ça ne me suffit pas. En d'autres termes votre parole ne me suffit
pas et ce, quel que soit le niveau d'expertise auquel vous intervenez.
Et cela me suffira d'autant moins que la prestation réalisée par ledit
prestataire sera médiatisée.
[...]Bien sûr. L'erreur est humaine, ce ne sont pas des machines qui font le
travail. De plus, il s'agit d'une seule erreur. En connaissez-vous
d'autres?
A mon avis si une erreur aussi médiatique s'est glissée bien d'autres
ont eu lieu et courrent encore aujourd'hui.
En sécurité comme en mathématique un seul contre-exemple fiche le théorème
par terre.N'avez-vous jamais fait d'erreur vous-même, même dans l'exercice
de votre métier, ce pour quoi on vous paye?
Oh que si, et heureusement, mais je ne pèse pas plusieurs milliards de
dollars
et ne dispose donc pas de l'infrastructure adéquate pour éviter ce genre de
désagrément.
Je ne prétends pas délivrer de certificats à la planète entière ni
Ce que je veux dire également c'est que l'attribution des certificats est
avant tout un travail de proximité et certainement pas un boulot à
dimension planétaire.
Je vois mal comment une boîte étrangère pourrait enquêter sur la justesse
d'une demande française. Via sa filliale ?
Raison pour laquelle je privilégie les tiers de confiance français et
préférence sans techno étrangère impliquée !
Parlons-en de la confiance justement, car c'est de cela dont il est
question.
Selon moi, aujourd'hui, pour un périmètre relativement restreint d'acteurs,
une communauté, par exemple celle de l'automobile en France (qui comprend
les constructeurs et les fournisseurs) il est bien plus intéressant et
économique de gérer elle-même sa confiance plutôt que de faire confiance à
une entité étrangère à cette communauté.
A une échelle plus petite si vous me connaissez bien et que nous nous voyons
régulièrement (et pouvons donc en parler) je pense que vous ferez davantage
confiance à un certif racine émis par moi-même plutôt qu'un certif racine
émis par une autorité reconnue. N'est-ce pas ?
Ceci d'autant que peu de personnes, peu d'applications vont vérifier la
réalité du certificat racine de l'autorité reconnue.
"Patrick Mevzek" wrote in message
news:C'est où dans Windows (je parle bien de l'OS et pas d'une application
s'exécutant sur cet OS) qu'on configure 1) la liste des AC reconnues 2)
les CRLs employées ?
Je ne comprends pas bien la question. En quoi l'OS aurait-il besoin de
reconnaître des AC ?
Et pour les voir, tu as IE qui se base sur le magasin de certificats
Microsoft.
Perso, je ne sais pas moi-meme, mais n'étant pas sous windows, ca m'est
égal. Je doute que cela soit très connu. C'est peut-etre meme
impossible à faire ?
Arf, en retournant la question, où dans un système unix serait la liste
des AC reconnues ?
"Patrick Mevzek" <pm-N200501@nospam.dotandco.com> wrote in message
news:pan.2005.01.13.14.06.47.36282.18513@nospam.dotandco.com
C'est où dans Windows (je parle bien de l'OS et pas d'une application
s'exécutant sur cet OS) qu'on configure 1) la liste des AC reconnues 2)
les CRLs employées ?
Je ne comprends pas bien la question. En quoi l'OS aurait-il besoin de
reconnaître des AC ?
Et pour les voir, tu as IE qui se base sur le magasin de certificats
Microsoft.
Perso, je ne sais pas moi-meme, mais n'étant pas sous windows, ca m'est
égal. Je doute que cela soit très connu. C'est peut-etre meme
impossible à faire ?
Arf, en retournant la question, où dans un système unix serait la liste
des AC reconnues ?
"Patrick Mevzek" wrote in message
news:C'est où dans Windows (je parle bien de l'OS et pas d'une application
s'exécutant sur cet OS) qu'on configure 1) la liste des AC reconnues 2)
les CRLs employées ?
Je ne comprends pas bien la question. En quoi l'OS aurait-il besoin de
reconnaître des AC ?
Et pour les voir, tu as IE qui se base sur le magasin de certificats
Microsoft.
Perso, je ne sais pas moi-meme, mais n'étant pas sous windows, ca m'est
égal. Je doute que cela soit très connu. C'est peut-etre meme
impossible à faire ?
Arf, en retournant la question, où dans un système unix serait la liste
des AC reconnues ?
Je n'ai pas assez mis en avant le "(je le sais)", mais ça veut bien
dire ce que ça veut dire. Malheureusement, je ne peux pas en dire plus,
mais vous devriez arriver à imaginer quelque chose qui pourrait être non
loin de la vérité. ;)
Ca veut dire que vous avez audité de manière approfondie le
fonctionnement de toutes les AC ?
Bien sûr. L'erreur est humaine, ce ne sont pas des machines qui font le
travail. De plus, il s'agit d'une seule erreur. En connaissez-vous
d'autres?
Je doute fort que les AC les clament sur tous les toits. D'ailleurs
comment identifier l'erreur d'une AC ? Personne ne peut, si ce n'est la
personne qui a réussit à avoir un certificat sans rapport avec son
entité. Et si c'est à des fins frauduleuses, je doute qu'elle le clame
sur tous les toits aussi.
Ce certificat a été révoqué dans les semaines qui ont suivi mais qui
vérifie la validité d'un certificat de nos jours ? A part la date
d'expiration et encore.
Sur ce point, la faute n'est pas aux fournisseurs de certificat, mais
bien aux développeurs de logiciel.
La faute est à l'AC de fournir des certificats sans vérifier l'adéquation
entre le demandeur et l'objet certifié.
ignorée? Si vous ne configurez pas vos logiciels pour valider un
certificat par rapport à la CRL de son AC, c'est purement et simplement
votre problème.
Pas d'accord, quand le certificat est erroné *dès* sa fabrication.
L'usage des CRL est certes très recommandée, mais cela *n'exonère* pas
l'AC de faire son travail correctement !
- Bientot==> Une rubrique membre avec photos
- Bientot==> "Un chat on line" pour discuter
Si j'amène la photo de mon membre, je pourai caresser le chat ?
Je n'ai pas assez mis en avant le "(je le sais)", mais ça veut bien
dire ce que ça veut dire. Malheureusement, je ne peux pas en dire plus,
mais vous devriez arriver à imaginer quelque chose qui pourrait être non
loin de la vérité. ;)
Ca veut dire que vous avez audité de manière approfondie le
fonctionnement de toutes les AC ?
Bien sûr. L'erreur est humaine, ce ne sont pas des machines qui font le
travail. De plus, il s'agit d'une seule erreur. En connaissez-vous
d'autres?
Je doute fort que les AC les clament sur tous les toits. D'ailleurs
comment identifier l'erreur d'une AC ? Personne ne peut, si ce n'est la
personne qui a réussit à avoir un certificat sans rapport avec son
entité. Et si c'est à des fins frauduleuses, je doute qu'elle le clame
sur tous les toits aussi.
Ce certificat a été révoqué dans les semaines qui ont suivi mais qui
vérifie la validité d'un certificat de nos jours ? A part la date
d'expiration et encore.
Sur ce point, la faute n'est pas aux fournisseurs de certificat, mais
bien aux développeurs de logiciel.
La faute est à l'AC de fournir des certificats sans vérifier l'adéquation
entre le demandeur et l'objet certifié.
ignorée? Si vous ne configurez pas vos logiciels pour valider un
certificat par rapport à la CRL de son AC, c'est purement et simplement
votre problème.
Pas d'accord, quand le certificat est erroné *dès* sa fabrication.
L'usage des CRL est certes très recommandée, mais cela *n'exonère* pas
l'AC de faire son travail correctement !
- Bientot==> Une rubrique membre avec photos
- Bientot==> "Un chat on line" pour discuter
Si j'amène la photo de mon membre, je pourai caresser le chat ?
Je n'ai pas assez mis en avant le "(je le sais)", mais ça veut bien
dire ce que ça veut dire. Malheureusement, je ne peux pas en dire plus,
mais vous devriez arriver à imaginer quelque chose qui pourrait être non
loin de la vérité. ;)
Ca veut dire que vous avez audité de manière approfondie le
fonctionnement de toutes les AC ?
Bien sûr. L'erreur est humaine, ce ne sont pas des machines qui font le
travail. De plus, il s'agit d'une seule erreur. En connaissez-vous
d'autres?
Je doute fort que les AC les clament sur tous les toits. D'ailleurs
comment identifier l'erreur d'une AC ? Personne ne peut, si ce n'est la
personne qui a réussit à avoir un certificat sans rapport avec son
entité. Et si c'est à des fins frauduleuses, je doute qu'elle le clame
sur tous les toits aussi.
Ce certificat a été révoqué dans les semaines qui ont suivi mais qui
vérifie la validité d'un certificat de nos jours ? A part la date
d'expiration et encore.
Sur ce point, la faute n'est pas aux fournisseurs de certificat, mais
bien aux développeurs de logiciel.
La faute est à l'AC de fournir des certificats sans vérifier l'adéquation
entre le demandeur et l'objet certifié.
ignorée? Si vous ne configurez pas vos logiciels pour valider un
certificat par rapport à la CRL de son AC, c'est purement et simplement
votre problème.
Pas d'accord, quand le certificat est erroné *dès* sa fabrication.
L'usage des CRL est certes très recommandée, mais cela *n'exonère* pas
l'AC de faire son travail correctement !
- Bientot==> Une rubrique membre avec photos
- Bientot==> "Un chat on line" pour discuter
Si j'amène la photo de mon membre, je pourai caresser le chat ?
Ca veut dire que vous avez audité de manière approfondie le
fonctionnement de toutes les AC ?
Toutes les AC? Pas la peine, celles de VRSN suffisent.
Je doute fort que les AC les clament sur tous les toits. D'ailleurs
comment identifier l'erreur d'une AC ? Personne ne peut, si ce n'est la
personne qui a réussit à avoir un certificat sans rapport avec son
entité. Et si c'est à des fins frauduleuses, je doute qu'elle le clame
sur tous les toits aussi.
On peut quand même faire un audit sur ce qu'il s'est passé, voir les
traces d'activité, et détecter quelques erreurs.
Ca veut dire que vous avez audité de manière approfondie le
fonctionnement de toutes les AC ?
Toutes les AC? Pas la peine, celles de VRSN suffisent.
Je doute fort que les AC les clament sur tous les toits. D'ailleurs
comment identifier l'erreur d'une AC ? Personne ne peut, si ce n'est la
personne qui a réussit à avoir un certificat sans rapport avec son
entité. Et si c'est à des fins frauduleuses, je doute qu'elle le clame
sur tous les toits aussi.
On peut quand même faire un audit sur ce qu'il s'est passé, voir les
traces d'activité, et détecter quelques erreurs.
Ca veut dire que vous avez audité de manière approfondie le
fonctionnement de toutes les AC ?
Toutes les AC? Pas la peine, celles de VRSN suffisent.
Je doute fort que les AC les clament sur tous les toits. D'ailleurs
comment identifier l'erreur d'une AC ? Personne ne peut, si ce n'est la
personne qui a réussit à avoir un certificat sans rapport avec son
entité. Et si c'est à des fins frauduleuses, je doute qu'elle le clame
sur tous les toits aussi.
On peut quand même faire un audit sur ce qu'il s'est passé, voir les
traces d'activité, et détecter quelques erreurs.
Arf, en retournant la question, où dans un système unix serait la liste
des AC reconnues ?
De plus en plus de distributions Linux utilisent la liste des AC du
projet Mozilla,
Arf, en retournant la question, où dans un système unix serait la liste
des AC reconnues ?
De plus en plus de distributions Linux utilisent la liste des AC du
projet Mozilla,
Arf, en retournant la question, où dans un système unix serait la liste
des AC reconnues ?
De plus en plus de distributions Linux utilisent la liste des AC du
projet Mozilla,
On Thu, 13 Jan 2005, Patrick Mevzek wrote:ignorée? Si vous ne configurez pas vos logiciels pour valider un
certificat par rapport à la CRL de son AC, c'est purement et
simplement votre problème.
C'est où dans Windows (je parle bien de l'OS et pas d'une application
s'exécutant sur cet OS) qu'on configure 1) la liste des AC reconnues
Démarrer, Panneau de configuration, Options Internet, onglet Contenu.
2) les CRLs employées ?
Aucune idée.
Perso, je ne sais pas moi-meme, mais n'étant pas sous windows, ca m'est
égal. Je doute que cela soit très connu. C'est peut-etre meme
impossible à faire ?
Peut-être. Si c'est bien le cas, c'est donc une faute de Microsoft. Ils
ne sont pas à ça prêt. C'est du même coup une faute de l'utilisateur de
continuer à utiliser cet OS,
Pour le certificat MS en question la bourde est ``réparée'' sous forme
de patch à Windows via Windows Update & co !
Et ce patch contenait quoi? Une CRL, et un petit bout de code qui
vérifie la CRL.
Ce qui signifie donc que cette étape n'était pas faite
auparavant.
On Thu, 13 Jan 2005, Patrick Mevzek wrote:
ignorée? Si vous ne configurez pas vos logiciels pour valider un
certificat par rapport à la CRL de son AC, c'est purement et
simplement votre problème.
C'est où dans Windows (je parle bien de l'OS et pas d'une application
s'exécutant sur cet OS) qu'on configure 1) la liste des AC reconnues
Démarrer, Panneau de configuration, Options Internet, onglet Contenu.
2) les CRLs employées ?
Aucune idée.
Perso, je ne sais pas moi-meme, mais n'étant pas sous windows, ca m'est
égal. Je doute que cela soit très connu. C'est peut-etre meme
impossible à faire ?
Peut-être. Si c'est bien le cas, c'est donc une faute de Microsoft. Ils
ne sont pas à ça prêt. C'est du même coup une faute de l'utilisateur de
continuer à utiliser cet OS,
Pour le certificat MS en question la bourde est ``réparée'' sous forme
de patch à Windows via Windows Update & co !
Et ce patch contenait quoi? Une CRL, et un petit bout de code qui
vérifie la CRL.
Ce qui signifie donc que cette étape n'était pas faite
auparavant.
On Thu, 13 Jan 2005, Patrick Mevzek wrote:ignorée? Si vous ne configurez pas vos logiciels pour valider un
certificat par rapport à la CRL de son AC, c'est purement et
simplement votre problème.
C'est où dans Windows (je parle bien de l'OS et pas d'une application
s'exécutant sur cet OS) qu'on configure 1) la liste des AC reconnues
Démarrer, Panneau de configuration, Options Internet, onglet Contenu.
2) les CRLs employées ?
Aucune idée.
Perso, je ne sais pas moi-meme, mais n'étant pas sous windows, ca m'est
égal. Je doute que cela soit très connu. C'est peut-etre meme
impossible à faire ?
Peut-être. Si c'est bien le cas, c'est donc une faute de Microsoft. Ils
ne sont pas à ça prêt. C'est du même coup une faute de l'utilisateur de
continuer à utiliser cet OS,
Pour le certificat MS en question la bourde est ``réparée'' sous forme
de patch à Windows via Windows Update & co !
Et ce patch contenait quoi? Une CRL, et un petit bout de code qui
vérifie la CRL.
Ce qui signifie donc que cette étape n'était pas faite
auparavant.
complexe), mais pour un "simple certificat", techniquement parlant, la
seule difference est effectivement l'autorite de certification, connue
et deja diffusee d'un cote, pas connue et a diffuser de facon fiable
de l'autre....
complexe), mais pour un "simple certificat", techniquement parlant, la
seule difference est effectivement l'autorite de certification, connue
et deja diffusee d'un cote, pas connue et a diffuser de facon fiable
de l'autre....
complexe), mais pour un "simple certificat", techniquement parlant, la
seule difference est effectivement l'autorite de certification, connue
et deja diffusee d'un cote, pas connue et a diffuser de facon fiable
de l'autre....
Le Wed, 12 Jan 2005 15:45:44 +0000, VANHULLEBUS Yvan a écrit :complexe), mais pour un "simple certificat", techniquement parlant, la
seule difference est effectivement l'autorite de certification, connue
et deja diffusee d'un cote, pas connue et a diffuser de facon fiable
de l'autre....
Merci. Quand tu dis "a diffuser de façon fiable", ça ne prend pas en
compte le certificat généré par soi-même, et téléchargé par le
navigateur à la première connexion SSL ?
Le Wed, 12 Jan 2005 15:45:44 +0000, VANHULLEBUS Yvan a écrit :
complexe), mais pour un "simple certificat", techniquement parlant, la
seule difference est effectivement l'autorite de certification, connue
et deja diffusee d'un cote, pas connue et a diffuser de facon fiable
de l'autre....
Merci. Quand tu dis "a diffuser de façon fiable", ça ne prend pas en
compte le certificat généré par soi-même, et téléchargé par le
navigateur à la première connexion SSL ?
Le Wed, 12 Jan 2005 15:45:44 +0000, VANHULLEBUS Yvan a écrit :complexe), mais pour un "simple certificat", techniquement parlant, la
seule difference est effectivement l'autorite de certification, connue
et deja diffusee d'un cote, pas connue et a diffuser de facon fiable
de l'autre....
Merci. Quand tu dis "a diffuser de façon fiable", ça ne prend pas en
compte le certificat généré par soi-même, et téléchargé par le
navigateur à la première connexion SSL ?
Reprenons....
Pour ce qui est de "transmettre de facon fiable", on a en fait affaire
a un bete probleme de poule et d'oeuf: On peut valider un certificat
si on a deja le certificat de la CA qui correspond, mais pour diffuser
ce certificat de CA de facon fiable, on ne peut pas se contenter de la
signer avec son certificat utilisateur/serveur, puisqu'on ne pourra
valider celui -ci qu'une fois qu'on aura le certif. de la CA....
Reprenons....
Pour ce qui est de "transmettre de facon fiable", on a en fait affaire
a un bete probleme de poule et d'oeuf: On peut valider un certificat
si on a deja le certificat de la CA qui correspond, mais pour diffuser
ce certificat de CA de facon fiable, on ne peut pas se contenter de la
signer avec son certificat utilisateur/serveur, puisqu'on ne pourra
valider celui -ci qu'une fois qu'on aura le certif. de la CA....
Reprenons....
Pour ce qui est de "transmettre de facon fiable", on a en fait affaire
a un bete probleme de poule et d'oeuf: On peut valider un certificat
si on a deja le certificat de la CA qui correspond, mais pour diffuser
ce certificat de CA de facon fiable, on ne peut pas se contenter de la
signer avec son certificat utilisateur/serveur, puisqu'on ne pourra
valider celui -ci qu'une fois qu'on aura le certif. de la CA....
