Le rapport
(http://www.scribd.com/doc/64011372/Operation-Black-Tulip-v1-0) du
gouvernement hollandais est édifiant: des malwares sur les serveurs de
production les plus critiques, serveurs non patchés avec de multiples
vulnérabilités, etc.
Il serait intéressant de savoir comment un prestataire aussi incompétent
techniquement a pu se glisser dans la liste des autorités de certification.
Et combien d'autres autorités de certification sont aussi peu fiables ..
Stephane CARPENTIER a écrit, le 13/10/2011 22:26 :
Gloops wrote:
Stephane CARPENTIER a écrit, le 09/10/2011 19:17 :
Gloops wrote:
Stephane CARPENTIER a écrit, le 08/10/2011 21:07 :
Gloops wrote:
Stephane CARPENTIER a écrit, le 07/09/2011 22:08 :
Fabien LE LEZ wrote:
Honnêtement, j'ai abandonné tout espoir. Entre les autorité s foireuses et les certificats auto-signés, je préfère consi dérer que HTTP et HTTPS sont équivalents.
Heu, les certificats auto-signés, c'est très bien. Au moins, tu sais ce que tu fais. Bien sûr, ça ne te garanti pas que tu sais su r quel site tu vas, mais ce n'est pas fait pour ça.
Sans certificat du tout, on sait aussi ce qu'on fait, non ?
Oui.
C'est les autres, qui ne le savent pas.
C'est aussi toi qui ne sais pas ce que les autres font de ton certificat.
Si j'ai un peu retenu quelque chose, c'est pour ça que le certific at comporte une clef privée et une clef publique. Et qu'il ne faut pa s laisser traîner la clef privée n'importe où.
Je le fait autrement.
Quand je génère ma clé privée, je sais ce que j'en fais. Quand un organisme tiers me génère ma clé privée, je ne sais pas ce qu'il en fait.
Qu'on peut synthétiser : crise de confiance.
La sécurité, c'est pas le monde des bisounours. Il n'est pas possib le de faire confiance à n'importe qui. Il est encore moins possible de fair e confiance à une entreprise qui a déjà prouvé son [incompétenc e| malhonnêteté].
Dommage, c'est pourtant mignon, les bisounours :)
Stephane CARPENTIER a écrit, le 13/10/2011 22:26 :
Gloops wrote:
Stephane CARPENTIER a écrit, le 09/10/2011 19:17 :
Gloops wrote:
Stephane CARPENTIER a écrit, le 08/10/2011 21:07 :
Gloops wrote:
Stephane CARPENTIER a écrit, le 07/09/2011 22:08 :
Fabien LE LEZ wrote:
Honnêtement, j'ai abandonné tout espoir. Entre les autorité s
foireuses et les certificats auto-signés, je préfère consi dérer que
HTTP et HTTPS sont équivalents.
Heu, les certificats auto-signés, c'est très bien. Au moins, tu sais
ce que tu fais. Bien sûr, ça ne te garanti pas que tu sais su r quel
site tu vas, mais ce n'est pas fait pour ça.
Sans certificat du tout, on sait aussi ce qu'on fait, non ?
Oui.
C'est les autres, qui ne le savent pas.
C'est aussi toi qui ne sais pas ce que les autres font de ton
certificat.
Si j'ai un peu retenu quelque chose, c'est pour ça que le certific at
comporte une clef privée et une clef publique. Et qu'il ne faut pa s
laisser traîner la clef privée n'importe où.
Je le fait autrement.
Quand je génère ma clé privée, je sais ce que j'en fais.
Quand un organisme tiers me génère ma clé privée, je ne sais pas ce qu'il
en fait.
Qu'on peut synthétiser : crise de confiance.
La sécurité, c'est pas le monde des bisounours. Il n'est pas possib le de
faire confiance à n'importe qui. Il est encore moins possible de fair e
confiance à une entreprise qui a déjà prouvé son [incompétenc e|
malhonnêteté].
Stephane CARPENTIER a écrit, le 13/10/2011 22:26 :
Gloops wrote:
Stephane CARPENTIER a écrit, le 09/10/2011 19:17 :
Gloops wrote:
Stephane CARPENTIER a écrit, le 08/10/2011 21:07 :
Gloops wrote:
Stephane CARPENTIER a écrit, le 07/09/2011 22:08 :
Fabien LE LEZ wrote:
Honnêtement, j'ai abandonné tout espoir. Entre les autorité s foireuses et les certificats auto-signés, je préfère consi dérer que HTTP et HTTPS sont équivalents.
Heu, les certificats auto-signés, c'est très bien. Au moins, tu sais ce que tu fais. Bien sûr, ça ne te garanti pas que tu sais su r quel site tu vas, mais ce n'est pas fait pour ça.
Sans certificat du tout, on sait aussi ce qu'on fait, non ?
Oui.
C'est les autres, qui ne le savent pas.
C'est aussi toi qui ne sais pas ce que les autres font de ton certificat.
Si j'ai un peu retenu quelque chose, c'est pour ça que le certific at comporte une clef privée et une clef publique. Et qu'il ne faut pa s laisser traîner la clef privée n'importe où.
Je le fait autrement.
Quand je génère ma clé privée, je sais ce que j'en fais. Quand un organisme tiers me génère ma clé privée, je ne sais pas ce qu'il en fait.
Qu'on peut synthétiser : crise de confiance.
La sécurité, c'est pas le monde des bisounours. Il n'est pas possib le de faire confiance à n'importe qui. Il est encore moins possible de fair e confiance à une entreprise qui a déjà prouvé son [incompétenc e| malhonnêteté].
