L'AC sait a priori où est installé son certificat non ?
C'est là le problème. Absolument pas. Si je décide de faire
explicitement confiance à une AC quelconque, je n'ai *pas* à prévenir
cette AC. Donc cette AC ne sait *pas* où est installé ce certificat. Une
AC peut évidemment savoir que son certificat a été installé par défaut
avec Windows/IE/CAPI ou Netscape/Mozilla, mais ailleurs...
Là où s'est installé elle pourrait demander à vérifier que la CRL est
bien utilisée.
Tu retournes le problème.
Qui a besoin de confiance? L'utilisateur de
certificat (Microsoft, Mozilla, ... ou l'utilisateur lambda). Qui
fournit la confiance? L'AC. C'est donc à celui qui a besoin de confiance
de s'appuyer sur ce que lui fournit le fournisseur de confiance, pas au
fournisseur de la confiance de s'assurer que tout le monde fait bien son
travail.
L'AC sait a priori où est installé son certificat non ?
C'est là le problème. Absolument pas. Si je décide de faire
explicitement confiance à une AC quelconque, je n'ai *pas* à prévenir
cette AC. Donc cette AC ne sait *pas* où est installé ce certificat. Une
AC peut évidemment savoir que son certificat a été installé par défaut
avec Windows/IE/CAPI ou Netscape/Mozilla, mais ailleurs...
Là où s'est installé elle pourrait demander à vérifier que la CRL est
bien utilisée.
Tu retournes le problème.
Qui a besoin de confiance? L'utilisateur de
certificat (Microsoft, Mozilla, ... ou l'utilisateur lambda). Qui
fournit la confiance? L'AC. C'est donc à celui qui a besoin de confiance
de s'appuyer sur ce que lui fournit le fournisseur de confiance, pas au
fournisseur de la confiance de s'assurer que tout le monde fait bien son
travail.
L'AC sait a priori où est installé son certificat non ?
C'est là le problème. Absolument pas. Si je décide de faire
explicitement confiance à une AC quelconque, je n'ai *pas* à prévenir
cette AC. Donc cette AC ne sait *pas* où est installé ce certificat. Une
AC peut évidemment savoir que son certificat a été installé par défaut
avec Windows/IE/CAPI ou Netscape/Mozilla, mais ailleurs...
Là où s'est installé elle pourrait demander à vérifier que la CRL est
bien utilisée.
Tu retournes le problème.
Qui a besoin de confiance? L'utilisateur de
certificat (Microsoft, Mozilla, ... ou l'utilisateur lambda). Qui
fournit la confiance? L'AC. C'est donc à celui qui a besoin de confiance
de s'appuyer sur ce que lui fournit le fournisseur de confiance, pas au
fournisseur de la confiance de s'assurer que tout le monde fait bien son
travail.
Ce certificat a été révoqué dans les semaines qui ont suivi mais qui
vérifie la validité d'un certificat de nos jours ? A part la date
d'expiration et encore.
Sur ce point, la faute n'est pas aux fournisseurs de certificat, mais
bien aux développeurs de logiciel. Si vous étiez un commerçant,
accepteriez-vous d'utiliser un terminal de paiement qui ne télécharge
pas la liste noire des cartes bancaires? Pourquoi dès qu'il s'agit
d'informatique la sécurité devient tellement chiante qu'elle est
ignorée? Si vous ne configurez pas vos logiciels pour valider un
certificat par rapport à la CRL de son AC, c'est purement et simplement
votre problème.
Ce certificat a été révoqué dans les semaines qui ont suivi mais qui
vérifie la validité d'un certificat de nos jours ? A part la date
d'expiration et encore.
Sur ce point, la faute n'est pas aux fournisseurs de certificat, mais
bien aux développeurs de logiciel. Si vous étiez un commerçant,
accepteriez-vous d'utiliser un terminal de paiement qui ne télécharge
pas la liste noire des cartes bancaires? Pourquoi dès qu'il s'agit
d'informatique la sécurité devient tellement chiante qu'elle est
ignorée? Si vous ne configurez pas vos logiciels pour valider un
certificat par rapport à la CRL de son AC, c'est purement et simplement
votre problème.
Ce certificat a été révoqué dans les semaines qui ont suivi mais qui
vérifie la validité d'un certificat de nos jours ? A part la date
d'expiration et encore.
Sur ce point, la faute n'est pas aux fournisseurs de certificat, mais
bien aux développeurs de logiciel. Si vous étiez un commerçant,
accepteriez-vous d'utiliser un terminal de paiement qui ne télécharge
pas la liste noire des cartes bancaires? Pourquoi dès qu'il s'agit
d'informatique la sécurité devient tellement chiante qu'elle est
ignorée? Si vous ne configurez pas vos logiciels pour valider un
certificat par rapport à la CRL de son AC, c'est purement et simplement
votre problème.
Encore non. Elle s'en tape.
Bien sûr, dans votre vision des choses, où tout est de la faute de
l'utilisateur, et dans la vision de maximiser le profit pour l'AC.
Pas dans la mienne.
La ça implique une méconnaissance complète du sujet.
Certes la marge des
AC semble être très conséquente mais les AC qui font leur job ont des
coûts réels (à commencer par les assurances pour couvrir leurs conneries
:)).
Encore non. Elle s'en tape.
Bien sûr, dans votre vision des choses, où tout est de la faute de
l'utilisateur, et dans la vision de maximiser le profit pour l'AC.
Pas dans la mienne.
La ça implique une méconnaissance complète du sujet.
Certes la marge des
AC semble être très conséquente mais les AC qui font leur job ont des
coûts réels (à commencer par les assurances pour couvrir leurs conneries
:)).
Encore non. Elle s'en tape.
Bien sûr, dans votre vision des choses, où tout est de la faute de
l'utilisateur, et dans la vision de maximiser le profit pour l'AC.
Pas dans la mienne.
La ça implique une méconnaissance complète du sujet.
Certes la marge des
AC semble être très conséquente mais les AC qui font leur job ont des
coûts réels (à commencer par les assurances pour couvrir leurs conneries
:)).
Ce certificat a été révoqué dans les semaines qui ont suivi mais qui
vérifie la validité d'un certificat de nos jours ? A part la date
d'expiration et encore.
Sur ce point, la faute n'est pas aux fournisseurs de certificat, mais
bien aux développeurs de logiciel. Si vous étiez un commerçant,
accepteriez-vous d'utiliser un terminal de paiement qui ne télécharge
pas la liste noire des cartes bancaires? Pourquoi dès qu'il s'agit
d'informatique la sécurité devient tellement chiante qu'elle est
ignorée? Si vous ne configurez pas vos logiciels pour valider un
certificat par rapport à la CRL de son AC, c'est purement et simplement
votre problème.
Hum...
En fouillant, je suis retombé sur la page 173 de ``Web security, Privacy
& Commerce''.
Il faut croire que l'auteur est plus nuancé que vous sur de qui est-ce
la faute, puisqu'il indique que les certificats incriminés, même si
listés relativement rapidement dans les CRLs de l'AC concerné,
n'incluaient pas de ``CRL Distribution Point''.
Ce certificat a été révoqué dans les semaines qui ont suivi mais qui
vérifie la validité d'un certificat de nos jours ? A part la date
d'expiration et encore.
Sur ce point, la faute n'est pas aux fournisseurs de certificat, mais
bien aux développeurs de logiciel. Si vous étiez un commerçant,
accepteriez-vous d'utiliser un terminal de paiement qui ne télécharge
pas la liste noire des cartes bancaires? Pourquoi dès qu'il s'agit
d'informatique la sécurité devient tellement chiante qu'elle est
ignorée? Si vous ne configurez pas vos logiciels pour valider un
certificat par rapport à la CRL de son AC, c'est purement et simplement
votre problème.
Hum...
En fouillant, je suis retombé sur la page 173 de ``Web security, Privacy
& Commerce''.
Il faut croire que l'auteur est plus nuancé que vous sur de qui est-ce
la faute, puisqu'il indique que les certificats incriminés, même si
listés relativement rapidement dans les CRLs de l'AC concerné,
n'incluaient pas de ``CRL Distribution Point''.
Ce certificat a été révoqué dans les semaines qui ont suivi mais qui
vérifie la validité d'un certificat de nos jours ? A part la date
d'expiration et encore.
Sur ce point, la faute n'est pas aux fournisseurs de certificat, mais
bien aux développeurs de logiciel. Si vous étiez un commerçant,
accepteriez-vous d'utiliser un terminal de paiement qui ne télécharge
pas la liste noire des cartes bancaires? Pourquoi dès qu'il s'agit
d'informatique la sécurité devient tellement chiante qu'elle est
ignorée? Si vous ne configurez pas vos logiciels pour valider un
certificat par rapport à la CRL de son AC, c'est purement et simplement
votre problème.
Hum...
En fouillant, je suis retombé sur la page 173 de ``Web security, Privacy
& Commerce''.
Il faut croire que l'auteur est plus nuancé que vous sur de qui est-ce
la faute, puisqu'il indique que les certificats incriminés, même si
listés relativement rapidement dans les CRLs de l'AC concerné,
n'incluaient pas de ``CRL Distribution Point''.
Certes la marge des
AC semble être très conséquente mais les AC qui font leur job ont des
coûts réels (à commencer par les assurances pour couvrir leurs
conneries :)).
Les coûts sont notamment juridiques et sécuritaires. Pour qu'une AC soit
embarquée nativement dans un navigateur, il faut qu'elle mette en oeuvre
un certain nombre de règles et processus (accès réseau redondants,
bunkers, règles d'exloitation, normes techniques, respect de règles
juridiques, audits, etc. et j'en passe car je connais mal le sujet)
Certes la marge des
AC semble être très conséquente mais les AC qui font leur job ont des
coûts réels (à commencer par les assurances pour couvrir leurs
conneries :)).
Les coûts sont notamment juridiques et sécuritaires. Pour qu'une AC soit
embarquée nativement dans un navigateur, il faut qu'elle mette en oeuvre
un certain nombre de règles et processus (accès réseau redondants,
bunkers, règles d'exloitation, normes techniques, respect de règles
juridiques, audits, etc. et j'en passe car je connais mal le sujet)
Certes la marge des
AC semble être très conséquente mais les AC qui font leur job ont des
coûts réels (à commencer par les assurances pour couvrir leurs
conneries :)).
Les coûts sont notamment juridiques et sécuritaires. Pour qu'une AC soit
embarquée nativement dans un navigateur, il faut qu'elle mette en oeuvre
un certain nombre de règles et processus (accès réseau redondants,
bunkers, règles d'exloitation, normes techniques, respect de règles
juridiques, audits, etc. et j'en passe car je connais mal le sujet)
Les coûts sont notamment juridiques et sécuritaires. Pour qu'une AC soit
embarquée nativement dans un navigateur, il faut qu'elle mette en oeuvre
un certain nombre de règles et processus (accès réseau redondants,
bunkers, règles d'exloitation, normes techniques, respect de règles
juridiques, audits, etc. et j'en passe car je connais mal le sujet)
Bref, toutes ces petites choses qui n'ont l'air de rien mais qui font
très vite augmenter les coûts quand on les met bout à bout.
Les coûts sont notamment juridiques et sécuritaires. Pour qu'une AC soit
embarquée nativement dans un navigateur, il faut qu'elle mette en oeuvre
un certain nombre de règles et processus (accès réseau redondants,
bunkers, règles d'exloitation, normes techniques, respect de règles
juridiques, audits, etc. et j'en passe car je connais mal le sujet)
Bref, toutes ces petites choses qui n'ont l'air de rien mais qui font
très vite augmenter les coûts quand on les met bout à bout.
Les coûts sont notamment juridiques et sécuritaires. Pour qu'une AC soit
embarquée nativement dans un navigateur, il faut qu'elle mette en oeuvre
un certain nombre de règles et processus (accès réseau redondants,
bunkers, règles d'exloitation, normes techniques, respect de règles
juridiques, audits, etc. et j'en passe car je connais mal le sujet)
Bref, toutes ces petites choses qui n'ont l'air de rien mais qui font
très vite augmenter les coûts quand on les met bout à bout.
L'AC sait a priori où est installé son certificat non ?
C'est là le problème. Absolument pas. Si je décide de faire
explicitement confiance à une AC quelconque, je n'ai *pas* à prévenir
cette AC. Donc cette AC ne sait *pas* où est installé ce certificat. Une
AC peut évidemment savoir que son certificat a été installé par défaut
avec Windows/IE/CAPI ou Netscape/Mozilla, mais ailleurs...
Déjà si ces deux cas étaient traités...
Bref, oui, en théorie elle ne peut pas au sens strict du terme.
En pratique elle peut déjà couvrir 90 ou 99% des cas...Là où s'est installé elle pourrait demander à vérifier que la CRL est
bien utilisée.
Tu retournes le problème.
Non, je cherche des solutions pragmatiques et concrètes, et pas des trucs
ancrés dans la sphère purement théorique.
On est arrivé à la conclusion que l'utilisateur final n'a *aucun*
moyen (en pratique), en tout cas sous Windows, de s'assurer que les CRLs
sont bien utilisés.
Votre point de vue: tant pis pour l'utilisateur, c'est sa faute.
Puisque quand elle (l'AC) fournit un certificat, elle fournit en fait pas
seulement le certificat en lui-même, mais la garantie qu'il est bien
délivré à la bonne personne, que les CRLs sont à jour, etc...
Si elle publie des CRLs que personne n'utilise, ca ne sert à rien.
Votre point de vue est que c'est la faute des gens qui ne s'en servent
pas.
Mon point de vue, comme au-dessus, c'est que en pratique, pourquoi ne pas
imaginer que les AC fasse aussi un effort en ce sens (c'est une idée
comme une autre).
Qui a besoin de confiance? L'utilisateur de
certificat (Microsoft, Mozilla, ... ou l'utilisateur lambda). Qui
fournit la confiance? L'AC. C'est donc à celui qui a besoin de confiance
de s'appuyer sur ce que lui fournit le fournisseur de confiance, pas au
fournisseur de la confiance de s'assurer que tout le monde fait bien son
travail.
Ma position est moins tranchée. La sécurité est affaire de tous, si l'un
quelconque des maillons s'en lave les mains, ca rejaillit sur tout le
monde. Si l'AC se borne à verifier (avec toutes les limites et erreurs
que l'on peut imaginer et voir) quelques papiers et fournir une chaine de
caractères qui est en fait un certificat, ca fait pas grand chose comme
travail. Selon moi.
D'un autre côté comme vous avez des liens avec au moins une AC d'après ce
que vous dites sans donner les détails, je peux comprendre votre
position.
Personnellement, je suis simple utilisateur de certificats SSL, pour le web,
car à titre perso le modèle ``web of trust'' me plait davantage.
L'AC sait a priori où est installé son certificat non ?
C'est là le problème. Absolument pas. Si je décide de faire
explicitement confiance à une AC quelconque, je n'ai *pas* à prévenir
cette AC. Donc cette AC ne sait *pas* où est installé ce certificat. Une
AC peut évidemment savoir que son certificat a été installé par défaut
avec Windows/IE/CAPI ou Netscape/Mozilla, mais ailleurs...
Déjà si ces deux cas étaient traités...
Bref, oui, en théorie elle ne peut pas au sens strict du terme.
En pratique elle peut déjà couvrir 90 ou 99% des cas...
Là où s'est installé elle pourrait demander à vérifier que la CRL est
bien utilisée.
Tu retournes le problème.
Non, je cherche des solutions pragmatiques et concrètes, et pas des trucs
ancrés dans la sphère purement théorique.
On est arrivé à la conclusion que l'utilisateur final n'a *aucun*
moyen (en pratique), en tout cas sous Windows, de s'assurer que les CRLs
sont bien utilisés.
Votre point de vue: tant pis pour l'utilisateur, c'est sa faute.
Puisque quand elle (l'AC) fournit un certificat, elle fournit en fait pas
seulement le certificat en lui-même, mais la garantie qu'il est bien
délivré à la bonne personne, que les CRLs sont à jour, etc...
Si elle publie des CRLs que personne n'utilise, ca ne sert à rien.
Votre point de vue est que c'est la faute des gens qui ne s'en servent
pas.
Mon point de vue, comme au-dessus, c'est que en pratique, pourquoi ne pas
imaginer que les AC fasse aussi un effort en ce sens (c'est une idée
comme une autre).
Qui a besoin de confiance? L'utilisateur de
certificat (Microsoft, Mozilla, ... ou l'utilisateur lambda). Qui
fournit la confiance? L'AC. C'est donc à celui qui a besoin de confiance
de s'appuyer sur ce que lui fournit le fournisseur de confiance, pas au
fournisseur de la confiance de s'assurer que tout le monde fait bien son
travail.
Ma position est moins tranchée. La sécurité est affaire de tous, si l'un
quelconque des maillons s'en lave les mains, ca rejaillit sur tout le
monde. Si l'AC se borne à verifier (avec toutes les limites et erreurs
que l'on peut imaginer et voir) quelques papiers et fournir une chaine de
caractères qui est en fait un certificat, ca fait pas grand chose comme
travail. Selon moi.
D'un autre côté comme vous avez des liens avec au moins une AC d'après ce
que vous dites sans donner les détails, je peux comprendre votre
position.
Personnellement, je suis simple utilisateur de certificats SSL, pour le web,
car à titre perso le modèle ``web of trust'' me plait davantage.
L'AC sait a priori où est installé son certificat non ?
C'est là le problème. Absolument pas. Si je décide de faire
explicitement confiance à une AC quelconque, je n'ai *pas* à prévenir
cette AC. Donc cette AC ne sait *pas* où est installé ce certificat. Une
AC peut évidemment savoir que son certificat a été installé par défaut
avec Windows/IE/CAPI ou Netscape/Mozilla, mais ailleurs...
Déjà si ces deux cas étaient traités...
Bref, oui, en théorie elle ne peut pas au sens strict du terme.
En pratique elle peut déjà couvrir 90 ou 99% des cas...Là où s'est installé elle pourrait demander à vérifier que la CRL est
bien utilisée.
Tu retournes le problème.
Non, je cherche des solutions pragmatiques et concrètes, et pas des trucs
ancrés dans la sphère purement théorique.
On est arrivé à la conclusion que l'utilisateur final n'a *aucun*
moyen (en pratique), en tout cas sous Windows, de s'assurer que les CRLs
sont bien utilisés.
Votre point de vue: tant pis pour l'utilisateur, c'est sa faute.
Puisque quand elle (l'AC) fournit un certificat, elle fournit en fait pas
seulement le certificat en lui-même, mais la garantie qu'il est bien
délivré à la bonne personne, que les CRLs sont à jour, etc...
Si elle publie des CRLs que personne n'utilise, ca ne sert à rien.
Votre point de vue est que c'est la faute des gens qui ne s'en servent
pas.
Mon point de vue, comme au-dessus, c'est que en pratique, pourquoi ne pas
imaginer que les AC fasse aussi un effort en ce sens (c'est une idée
comme une autre).
Qui a besoin de confiance? L'utilisateur de
certificat (Microsoft, Mozilla, ... ou l'utilisateur lambda). Qui
fournit la confiance? L'AC. C'est donc à celui qui a besoin de confiance
de s'appuyer sur ce que lui fournit le fournisseur de confiance, pas au
fournisseur de la confiance de s'assurer que tout le monde fait bien son
travail.
Ma position est moins tranchée. La sécurité est affaire de tous, si l'un
quelconque des maillons s'en lave les mains, ca rejaillit sur tout le
monde. Si l'AC se borne à verifier (avec toutes les limites et erreurs
que l'on peut imaginer et voir) quelques papiers et fournir une chaine de
caractères qui est en fait un certificat, ca fait pas grand chose comme
travail. Selon moi.
D'un autre côté comme vous avez des liens avec au moins une AC d'après ce
que vous dites sans donner les détails, je peux comprendre votre
position.
Personnellement, je suis simple utilisateur de certificats SSL, pour le web,
car à titre perso le modèle ``web of trust'' me plait davantage.
Ce certificat a été révoqué dans les semaines qui ont suivi mais qui
vérifie la validité d'un certificat de nos jours ? A part la date
d'expiration et encore.
Sur ce point, la faute n'est pas aux fournisseurs de certificat, mais
bien aux développeurs de logiciel. Si vous étiez un commerçant,
accepteriez-vous d'utiliser un terminal de paiement qui ne télécharge
pas la liste noire des cartes bancaires? Pourquoi dès qu'il s'agit
d'informatique la sécurité devient tellement chiante qu'elle est
ignorée? Si vous ne configurez pas vos logiciels pour valider un
certificat par rapport à la CRL de son AC, c'est purement et simplement
votre problème.
Hum...
En fouillant, je suis retombé sur la page 173 de ``Web security, Privacy
& Commerce''.
Il faut croire que l'auteur est plus nuancé que vous sur de qui est-ce la
faute, puisqu'il indique que les certificats incriminés, même si listés
relativement rapidement dans les CRLs de l'AC concerné, n'incluaient pas
de ``CRL Distribution Point''.
Donc c'est la faute du développeur que d'utiliser un certificat qui ne
mentionne pas où trouver la CRL ?
Donc c'est la faute de l'utilisateur qui ne vérifie pas que le système
ne vérifie pas les CRLs alors que le système est *conceptuellement*
incapable de le faire puisqu'il manque des informations ?
Le patch disponible ne fait que fournir une CRL locale contenant les
certificats incriminés (d'après l'auteur du bouquin sus-nommé toujours),
ce qui n'est en rien une solution à long terme.
Il faudrait donc peut-être prendre un point de vue plus nuancer et
arrêter de penser que tout est de la faute de l'utilisateur final qui ne
fait pas les choses comme il faut.
Ce certificat a été révoqué dans les semaines qui ont suivi mais qui
vérifie la validité d'un certificat de nos jours ? A part la date
d'expiration et encore.
Sur ce point, la faute n'est pas aux fournisseurs de certificat, mais
bien aux développeurs de logiciel. Si vous étiez un commerçant,
accepteriez-vous d'utiliser un terminal de paiement qui ne télécharge
pas la liste noire des cartes bancaires? Pourquoi dès qu'il s'agit
d'informatique la sécurité devient tellement chiante qu'elle est
ignorée? Si vous ne configurez pas vos logiciels pour valider un
certificat par rapport à la CRL de son AC, c'est purement et simplement
votre problème.
Hum...
En fouillant, je suis retombé sur la page 173 de ``Web security, Privacy
& Commerce''.
Il faut croire que l'auteur est plus nuancé que vous sur de qui est-ce la
faute, puisqu'il indique que les certificats incriminés, même si listés
relativement rapidement dans les CRLs de l'AC concerné, n'incluaient pas
de ``CRL Distribution Point''.
Donc c'est la faute du développeur que d'utiliser un certificat qui ne
mentionne pas où trouver la CRL ?
Donc c'est la faute de l'utilisateur qui ne vérifie pas que le système
ne vérifie pas les CRLs alors que le système est *conceptuellement*
incapable de le faire puisqu'il manque des informations ?
Le patch disponible ne fait que fournir une CRL locale contenant les
certificats incriminés (d'après l'auteur du bouquin sus-nommé toujours),
ce qui n'est en rien une solution à long terme.
Il faudrait donc peut-être prendre un point de vue plus nuancer et
arrêter de penser que tout est de la faute de l'utilisateur final qui ne
fait pas les choses comme il faut.
Ce certificat a été révoqué dans les semaines qui ont suivi mais qui
vérifie la validité d'un certificat de nos jours ? A part la date
d'expiration et encore.
Sur ce point, la faute n'est pas aux fournisseurs de certificat, mais
bien aux développeurs de logiciel. Si vous étiez un commerçant,
accepteriez-vous d'utiliser un terminal de paiement qui ne télécharge
pas la liste noire des cartes bancaires? Pourquoi dès qu'il s'agit
d'informatique la sécurité devient tellement chiante qu'elle est
ignorée? Si vous ne configurez pas vos logiciels pour valider un
certificat par rapport à la CRL de son AC, c'est purement et simplement
votre problème.
Hum...
En fouillant, je suis retombé sur la page 173 de ``Web security, Privacy
& Commerce''.
Il faut croire que l'auteur est plus nuancé que vous sur de qui est-ce la
faute, puisqu'il indique que les certificats incriminés, même si listés
relativement rapidement dans les CRLs de l'AC concerné, n'incluaient pas
de ``CRL Distribution Point''.
Donc c'est la faute du développeur que d'utiliser un certificat qui ne
mentionne pas où trouver la CRL ?
Donc c'est la faute de l'utilisateur qui ne vérifie pas que le système
ne vérifie pas les CRLs alors que le système est *conceptuellement*
incapable de le faire puisqu'il manque des informations ?
Le patch disponible ne fait que fournir une CRL locale contenant les
certificats incriminés (d'après l'auteur du bouquin sus-nommé toujours),
ce qui n'est en rien une solution à long terme.
Il faudrait donc peut-être prendre un point de vue plus nuancer et
arrêter de penser que tout est de la faute de l'utilisateur final qui ne
fait pas les choses comme il faut.
Ce certificat a été révoqué dans les semaines qui ont suivi mais qui
vérifie la validité d'un certificat de nos jours ? A part la date
d'expiration et encore.
Sur ce point, la faute n'est pas aux fournisseurs de certificat, mais
bien aux développeurs de logiciel. Si vous étiez un commerçant,
accepteriez-vous d'utiliser un terminal de paiement qui ne télécharge
pas la liste noire des cartes bancaires? Pourquoi dès qu'il s'agit
d'informatique la sécurité devient tellement chiante qu'elle est
ignorée? Si vous ne configurez pas vos logiciels pour valider un
certificat par rapport à la CRL de son AC, c'est purement et simplement
votre problème.
Hum...
En fouillant, je suis retombé sur la page 173 de ``Web security, Privacy
& Commerce''.
Il faut croire que l'auteur est plus nuancé que vous sur de qui est-ce
la faute, puisqu'il indique que les certificats incriminés, même si
listés relativement rapidement dans les CRLs de l'AC concerné,
n'incluaient pas de ``CRL Distribution Point''.
Schneier dit pareil, même si Microsoft dit le contraire, mais au final
ils rejettent bien la faute sur l'AC.
Cf http://www.amug.org/~glguerin/opinion/revocation.html
pour tous les détails.
Ce certificat a été révoqué dans les semaines qui ont suivi mais qui
vérifie la validité d'un certificat de nos jours ? A part la date
d'expiration et encore.
Sur ce point, la faute n'est pas aux fournisseurs de certificat, mais
bien aux développeurs de logiciel. Si vous étiez un commerçant,
accepteriez-vous d'utiliser un terminal de paiement qui ne télécharge
pas la liste noire des cartes bancaires? Pourquoi dès qu'il s'agit
d'informatique la sécurité devient tellement chiante qu'elle est
ignorée? Si vous ne configurez pas vos logiciels pour valider un
certificat par rapport à la CRL de son AC, c'est purement et simplement
votre problème.
Hum...
En fouillant, je suis retombé sur la page 173 de ``Web security, Privacy
& Commerce''.
Il faut croire que l'auteur est plus nuancé que vous sur de qui est-ce
la faute, puisqu'il indique que les certificats incriminés, même si
listés relativement rapidement dans les CRLs de l'AC concerné,
n'incluaient pas de ``CRL Distribution Point''.
Schneier dit pareil, même si Microsoft dit le contraire, mais au final
ils rejettent bien la faute sur l'AC.
Cf http://www.amug.org/~glguerin/opinion/revocation.html
pour tous les détails.
Ce certificat a été révoqué dans les semaines qui ont suivi mais qui
vérifie la validité d'un certificat de nos jours ? A part la date
d'expiration et encore.
Sur ce point, la faute n'est pas aux fournisseurs de certificat, mais
bien aux développeurs de logiciel. Si vous étiez un commerçant,
accepteriez-vous d'utiliser un terminal de paiement qui ne télécharge
pas la liste noire des cartes bancaires? Pourquoi dès qu'il s'agit
d'informatique la sécurité devient tellement chiante qu'elle est
ignorée? Si vous ne configurez pas vos logiciels pour valider un
certificat par rapport à la CRL de son AC, c'est purement et simplement
votre problème.
Hum...
En fouillant, je suis retombé sur la page 173 de ``Web security, Privacy
& Commerce''.
Il faut croire que l'auteur est plus nuancé que vous sur de qui est-ce
la faute, puisqu'il indique que les certificats incriminés, même si
listés relativement rapidement dans les CRLs de l'AC concerné,
n'incluaient pas de ``CRL Distribution Point''.
Schneier dit pareil, même si Microsoft dit le contraire, mais au final
ils rejettent bien la faute sur l'AC.
Cf http://www.amug.org/~glguerin/opinion/revocation.html
pour tous les détails.
Exemple parmi tant d'autres: un certificat sur *.example.com est facturé
genre 5 à 10 fois plus cher que sur www.example.com
Quelle est la raison ?
Elle vendent des certifs,
elles s'engagent sur la génération des certifs et la gestion des crl.
Elles s'engagent ?
Vous voulez dire avec des garanties, des assurances, des moyens de
recours des clients finaux, des indemnisations concrètes au client
*final* ?
Exemple parmi tant d'autres: un certificat sur *.example.com est facturé
genre 5 à 10 fois plus cher que sur www.example.com
Quelle est la raison ?
Elle vendent des certifs,
elles s'engagent sur la génération des certifs et la gestion des crl.
Elles s'engagent ?
Vous voulez dire avec des garanties, des assurances, des moyens de
recours des clients finaux, des indemnisations concrètes au client
*final* ?
Exemple parmi tant d'autres: un certificat sur *.example.com est facturé
genre 5 à 10 fois plus cher que sur www.example.com
Quelle est la raison ?
Elle vendent des certifs,
elles s'engagent sur la génération des certifs et la gestion des crl.
Elles s'engagent ?
Vous voulez dire avec des garanties, des assurances, des moyens de
recours des clients finaux, des indemnisations concrètes au client
*final* ?
