L'op=E9rateur de t=E9l=E9phonie Mobiho utilise, pour ses paiements en lig=
ne,=20
une page en https, que Firefox rejette au motif que l'autorit=E9 de=20
certification est inconnue.
Il s'agit de NEOSURF CARDS SAS, dit autrement la soci=E9t=E9 m=E8re (je n=
'ai=20
pas v=E9rifi=E9, mais en tout cas une soci=E9t=E9 du m=EAme secteur =E0 q=
ui ils font=20
confiance), donc pile poil ce que Mozilla appelle un auto-certificat.
Bon, mais alors maintenant, apr=E8s le d=E9faut de DigiNotar, cela vaut-i=
l=20
le coup de snober un auto-certificat, pour exiger l'intervention d'une=20
soci=E9t=E9 de certification qui aussi bien s'av=E8rera v=E9reuse le mois=
d'apr=E8s ?
Alors certes, Mobiho n'est pas tr=E8s clair non plus, en ce sens que le=20
jour o=F9 je leur ai pos=E9 la question (avec le courrier d'accompagnemen=
t=20
du ch=E8que, donc ils l'ont re=E7u sinon le t=E9l=E9phone se serait arr=EA=
t=E9), ils=20
ont fait la sourde oreille, m=EAme pas d'accus=E9 de r=E9ception.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Fabien LE LEZ
On Tue, 22 Nov 2011 18:19:49 +0100, Gloops :
L'opérateur de téléphonie Mobiho utilise, pour ses paiements en ligne, une page en https, que Firefox rejette au motif que l'autorité de certification est inconnue.
Vu le nombre d'autorités de certification que mon Firefox refuse, je ne fais même plus attention.
Bon, mais alors maintenant, après le défaut de DigiNotar, cela vaut-il le coup de snober un auto-certificat, pour exiger l'intervention d'une société de certification qui aussi bien s'avèrera véreuse le mois d'après ?
Ben voilà. D'autant qu'il y a une autre autorité de certification plus que douteuse, dont les dirigeants sont soit des escrocs, soit des incompétents : Verisign.
On Tue, 22 Nov 2011 18:19:49 +0100, Gloops
<gloops@invalid.zailes.org>:
L'opérateur de téléphonie Mobiho utilise, pour ses paiements en ligne,
une page en https, que Firefox rejette au motif que l'autorité de
certification est inconnue.
Vu le nombre d'autorités de certification que mon Firefox refuse, je
ne fais même plus attention.
Bon, mais alors maintenant, après le défaut de DigiNotar, cela vaut-il
le coup de snober un auto-certificat, pour exiger l'intervention d'une
société de certification qui aussi bien s'avèrera véreuse le mois d'après ?
Ben voilà. D'autant qu'il y a une autre autorité de certification plus
que douteuse, dont les dirigeants sont soit des escrocs, soit des
incompétents : Verisign.
L'opérateur de téléphonie Mobiho utilise, pour ses paiements en ligne, une page en https, que Firefox rejette au motif que l'autorité de certification est inconnue.
Vu le nombre d'autorités de certification que mon Firefox refuse, je ne fais même plus attention.
Bon, mais alors maintenant, après le défaut de DigiNotar, cela vaut-il le coup de snober un auto-certificat, pour exiger l'intervention d'une société de certification qui aussi bien s'avèrera véreuse le mois d'après ?
Ben voilà. D'autant qu'il y a une autre autorité de certification plus que douteuse, dont les dirigeants sont soit des escrocs, soit des incompétents : Verisign.
Eric Razny
Bonjour.
Le Tue, 22 Nov 2011 18:19:49 +0100, Gloops a écrit :
L'opérateur de téléphonie Mobiho utilise, pour ses paiements en ligne, une page en https, que Firefox rejette au motif que l'autorité de certification est inconnue.
Il s'agit de NEOSURF CARDS SAS, dit autrement la société mère (je n'ai pas vérifié, mais en tout cas une société du même secteur à qui ils font confiance), donc pile poil ce que Mozilla appelle un auto-certificat.
Non, il y a toute une chaîne de certificats. C'est uniquement le fait que le "certif racine" qui est lui auto-signé (c'est normal) -ou un des certifs intermédiaire- ne fait pas partie du magasin de certifs de confiance de firefox qui donne cette alerte.
Bon, mais alors maintenant, après le défaut de DigiNotar, cela vaut-il le coup de snober un auto-certificat, pour exiger l'intervention d'une société de certification qui aussi bien s'avèrera véreuse le mois d'après ?
Le problème est surtout que Mme Michu ne se rend pas compte qu'en fait elle fait confiance à "son firefox" pour lui dire en qui elle doit avoir confiance. Et en sécurité la confiance transitive, bien, comment dire...
Pour l'auto de certif elle n'a pas besoin d'être véreuse, regarde le coup de DigiCert Malaysia qui a émis des certifs intermédiaire avec des clefs faibles... En plus ils semblent ne pas être fichu de les révoquer ;) Les possesseurs d'iPhone & co sont aux anges.
Alors certes, Mobiho n'est pas très clair non plus, en ce sens que le jour où je leur ai posé la question (avec le courrier d'accompagnement du chèque, donc ils l'ont reçu sinon le téléphone se serait arrêté), ils ont fait la sourde oreille, même pas d'accusé de réception.
Z'en pensez quoi ?
Que les certificats font de facto appel à un tiers de confiance, et que pour cette usage il est impossible à Mme Michu d'être sure de quoi que ce soit.
On revient au problème des gros qui ont leurs certifs dans tous les browsers et les autres, parfois très compétents et aussi sur que les autres mais méconnus de certains navigateurs.
Pour être pragmatique, je pense que je suis content qu'en France les banques soient contraintes de rembourser les CB quand il y a eu escroquerie. Encore qu'ici si le certif était refusé par tous les navigateurs (je ne vérifie pas) la position deviendrait inconfortable pour le possesseur de la CB.
Bonjour.
Le Tue, 22 Nov 2011 18:19:49 +0100, Gloops a écrit :
L'opérateur de téléphonie Mobiho utilise, pour ses paiements en ligne,
une page en https, que Firefox rejette au motif que l'autorité de
certification est inconnue.
Il s'agit de NEOSURF CARDS SAS, dit autrement la société mère (je n'ai
pas vérifié, mais en tout cas une société du même secteur à qui ils font
confiance), donc pile poil ce que Mozilla appelle un auto-certificat.
Non, il y a toute une chaîne de certificats. C'est uniquement le fait que
le "certif racine" qui est lui auto-signé (c'est normal) -ou un des
certifs intermédiaire- ne fait pas partie du magasin de certifs de
confiance de firefox qui donne cette alerte.
Bon, mais alors maintenant, après le défaut de DigiNotar, cela vaut-il
le coup de snober un auto-certificat, pour exiger l'intervention d'une
société de certification qui aussi bien s'avèrera véreuse le mois
d'après ?
Le problème est surtout que Mme Michu ne se rend pas compte qu'en fait
elle fait confiance à "son firefox" pour lui dire en qui elle doit avoir
confiance. Et en sécurité la confiance transitive, bien, comment dire...
Pour l'auto de certif elle n'a pas besoin d'être véreuse, regarde le coup
de DigiCert Malaysia qui a émis des certifs intermédiaire avec des clefs
faibles... En plus ils semblent ne pas être fichu de les révoquer ;)
Les possesseurs d'iPhone & co sont aux anges.
Alors certes, Mobiho n'est pas très clair non plus, en ce sens que le
jour où je leur ai posé la question (avec le courrier d'accompagnement
du chèque, donc ils l'ont reçu sinon le téléphone se serait arrêté), ils
ont fait la sourde oreille, même pas d'accusé de réception.
Z'en pensez quoi ?
Que les certificats font de facto appel à un tiers de confiance, et que
pour cette usage il est impossible à Mme Michu d'être sure de quoi que ce
soit.
On revient au problème des gros qui ont leurs certifs dans tous les
browsers et les autres, parfois très compétents et aussi sur que les
autres mais méconnus de certains navigateurs.
Pour être pragmatique, je pense que je suis content qu'en France les
banques soient contraintes de rembourser les CB quand il y a eu
escroquerie.
Encore qu'ici si le certif était refusé par tous les navigateurs (je ne
vérifie pas) la position deviendrait inconfortable pour le possesseur de
la CB.
Le Tue, 22 Nov 2011 18:19:49 +0100, Gloops a écrit :
L'opérateur de téléphonie Mobiho utilise, pour ses paiements en ligne, une page en https, que Firefox rejette au motif que l'autorité de certification est inconnue.
Il s'agit de NEOSURF CARDS SAS, dit autrement la société mère (je n'ai pas vérifié, mais en tout cas une société du même secteur à qui ils font confiance), donc pile poil ce que Mozilla appelle un auto-certificat.
Non, il y a toute une chaîne de certificats. C'est uniquement le fait que le "certif racine" qui est lui auto-signé (c'est normal) -ou un des certifs intermédiaire- ne fait pas partie du magasin de certifs de confiance de firefox qui donne cette alerte.
Bon, mais alors maintenant, après le défaut de DigiNotar, cela vaut-il le coup de snober un auto-certificat, pour exiger l'intervention d'une société de certification qui aussi bien s'avèrera véreuse le mois d'après ?
Le problème est surtout que Mme Michu ne se rend pas compte qu'en fait elle fait confiance à "son firefox" pour lui dire en qui elle doit avoir confiance. Et en sécurité la confiance transitive, bien, comment dire...
Pour l'auto de certif elle n'a pas besoin d'être véreuse, regarde le coup de DigiCert Malaysia qui a émis des certifs intermédiaire avec des clefs faibles... En plus ils semblent ne pas être fichu de les révoquer ;) Les possesseurs d'iPhone & co sont aux anges.
Alors certes, Mobiho n'est pas très clair non plus, en ce sens que le jour où je leur ai posé la question (avec le courrier d'accompagnement du chèque, donc ils l'ont reçu sinon le téléphone se serait arrêté), ils ont fait la sourde oreille, même pas d'accusé de réception.
Z'en pensez quoi ?
Que les certificats font de facto appel à un tiers de confiance, et que pour cette usage il est impossible à Mme Michu d'être sure de quoi que ce soit.
On revient au problème des gros qui ont leurs certifs dans tous les browsers et les autres, parfois très compétents et aussi sur que les autres mais méconnus de certains navigateurs.
Pour être pragmatique, je pense que je suis content qu'en France les banques soient contraintes de rembourser les CB quand il y a eu escroquerie. Encore qu'ici si le certif était refusé par tous les navigateurs (je ne vérifie pas) la position deviendrait inconfortable pour le possesseur de la CB.
Que les certificats font de facto appel à un tiers de confiance, e t que pour cette usage il est impossible à Mme Michu d'être sure de quoi que ce soit.
Que les certificats font de facto appel à un tiers de confiance, e t que
pour cette usage il est impossible à Mme Michu d'être sure de quoi que ce
soit.
Que les certificats font de facto appel à un tiers de confiance, e t que pour cette usage il est impossible à Mme Michu d'être sure de quoi que ce soit.