[OSM-talk-fr] le vent dans l'essai selle

Gilles LAMIRAL gilles.lamiral at laposte.net
Jeu 2 Juil 22:41:16 UTC 2009


Bonjour Vincent,

>> De même pour l'auto-signé.
> Non CaCert je l'ajoute une fois et je suis tranquille. Les auto-signés faut 
> rajouter tous les sites. 

Oui, tu es tranquille pour les sites certifiés avec l'autorité CaCert.
Rien ne t'empêches d'être autorité et de certifier l'ensemble de tes sites
avec cette autorité. Là aussi une fois fait, ce n'est plus à faire.

> Et comment lors d'un changement de certificat je sais si il est légitime ou pas ? 

Comment as tu fais pour CaCert ?
Mon petit doigt me dit que tu as fermé les yeux.
Me trompe je ?

> Imaginons osm.org avec un certificat auto-signé. Un 
> jour je vais sur le site le certificat à changé. Comment je sais si l'ancien à 
> expiré ou si quelqu'un a pris le contrôle du serveur DNS et me redirige vers 
> un aspirateur de mots de passe

Et bien tu demandes si le certificat est bien celui prétendu,
comme pour la première fois. Pas les yeux fermés sinon ça sert à rien.

>>> Sinon c'est quoi l'intérêt de https pour toi ?
>> Le flux chiffré + la garantie de revenir sur le même serveur
>> que la première fois.
> Auto-signé ou pas faut changer le certificat de temps en temps. Et là paf ! (Ou 
> alors si tu le change jamais t'as une conception bizarre de la sécurité)

Tout dépend de la taille de la clef et de l'algorithme de chiffrement.
Tant que l'ensemble de la puissance des machines de la planète fonctionnant à
plein régime pendant l'age de l'univers ne suffit pas à casser les clefs
(ce qui est le cas pour les clefs auto-signés dont je m'occupe) alors les clefs, 
leur taille et l'algorithme n'ont pas à être changé.
C'est un argument marketing excellent, postule chez les ténors en tant
que commercial : "oh bah là ma p'tite dame (michou) vos clefs sont un peu usées,
faut les changer pour sûr, ça leur fera du bien, tiens j'vous en met deux
pour le prix d'une, faîtes moi confiance c'est un bon cru cette année".

Si tu penses que les clefs doivent être changées par sécurité c'est que tu n'as
pas confiance dans tes clefs et c'est une autre conception bizarre de la sécurité
que d'utiliser des clefs dont on a pas confiance. Et toc.

>> Bizarrement j'ai plus confiance dans un certificat que j'ai
>> signé moi-même que dans un certificat où j'ai simplement
>> dû payer un tiers pour être dans les navigateurs par défaut.

> C'est marrant ça. Pour moi un auto-signé est juste un certificat non signé 

Non, il est signé. (content de te faire marrer)

> (C'est encrypté mais je sais pas ou ça va). 

Renseignes toi.
C'est chiffré et signé.

> Un certificat signé est la même 
> chose sauf qu'en plus quelqu'un dit "ce certificat il est bien". 

En auto-signé c'est direct, pas besoin de passer par un tiers qu'il
suffit de payer et qui nous dit "faîtes moi-confiance pour le stockage
des clefs et la non-divulgation à des entités quelconques".

> Si tu fais pas  confiance, libre à toi de virer toutes les autorités de certification de ton 
> navigateur, t'aura que des auto-signés.

Exactement. Quelle est la différence entre les autorités de certification et celles
que tu ajoutes ensuite ? L'argent et la confiance dans deux autorités plutôt qu'une.

>> De même que nous apprenons à détecter les faux billets, les canulars
>> en courriel, voir le certificat (l'auto-signé comme les autres) et le
>> vérifier fait partie  des bonnes pratiques. C'est bien plus sûr que le
>> simple "faîtes moi confiance, fermez les yeux, retournez vous et baissez
>> vous madame michou, ça va bien se passer". Ce que tu préconises.

> Vu les connaissances informatique moyenne des gens, je pense qu'il vaut mieux 
> pour eu croire la liste dans leur navigateur.

Ont ils installé leur logiciel navigateur en partant d'un site sûr, un site
dont ils ont vérifié la première fois les signatures, avec une archive elle
aussi signée et vérifiée ? Non. 
Conclusion : du vent dans l'ssl à plein poumons depuis le début.

> PS: Je trouve ça rigolo des conseils en sécurité d'un mec qui utilise les mail 
> de la poste. C'est bien eux qui n'ont toujours pas de imap sécurisé, dont le 
> webmail est en http par default (et qui pendant longtemps n'avaient pas de 
> https du tout), et qui lors de l'ouverture laissaient n'importe qui mettre 
> n'importe quoi comme adresse d'expéditeur ?

Cela ne pose aucun souci en ce qui concerne mes courriels postés en clair sur une 
liste archivée publiquement. Pour les autres courriels aussi à vrai dire car je 
suis un bizounours.  Si j'étais méfiant alors le https, l'imaps ne me rassurerait pas
plus car je ne serais pas à l'abri des méchants agissant sur les serveurs eux-mêmes.

Aujourd'hui, n'importe qui peut mettre Vincent MEURISSE <osm-talk-fr at meurisse.org>
dans le champ expéditeur de ses courriels, comme sur une enveloppe de la poste.
Je trouve ça très professionnel de leur part d'avoir maintenu cette 
caractéristique du protocole smtp, spécial bizounours, dans leur webmail.

Joli hors-sujet pour osm en tout cas.

-- 
Au revoir,                               02 99 64 31 77
Gilles Lamiral. France, Chavagne (35310) 06 20 79 76 06 




Plus d'informations sur la liste de diffusion Talk-fr