[OSM-talk-fr] [HS] Certificats & Co (was: Ajout sur planet.openstreetmap.fr ?)

[David MENTRE]

Salut Vincent,

Le 30 juin 2009 12:21, Vincent MEURISSE<osm-talk-fr at meurisse.org> a écrit :
> Sinon c'est quoi l'intérêt de https pour toi ?

Je pense que *tout* le trafic web devrait être en HTTPS : banque,
achats, blogs, OSM, Wikipédia ou autre. Ne serait-ce que pour éviter
que mon employeur, mon ISP[1], le gouvernement ou mon voisin de
hotspot wifi sache ce que je regarde, ce qui m'intéresse ou ce que
j'achète.

> Je pense personnellement
> qu'habituer madame michou à accepter des certificats autosignés est une très
> mauvaise idée. Parce que le jour où sa banque en aura un elle l'acceptera
> pareil.

Partiellement d'accord. Oui les certificats auto-signés c'est pas la
panacée. Mais c'est mieux que de tout passer en clair. C'est quand
même incroyable qu'il soit plus facile de passer un mot de passe en
clair (l'authentification dans OSM par exemple) qu'avec une connexion
chiffrée avec un certificat auto-signé !

Et si ta banque a un certificat auto-signé, change de banque. ;-)
(même si, sur le fond, je ne trouve pas un certificat Verisign
beaucoup plus sûr qu'un certificat dont j'aurais moi-même vérifié
l'empreinte) Quand à Mme Michu, certificat auto-signé ou pas, elle n'y
comprend que dalle et ne fait même pas la distinction entre HTTP et
HTTPS.

Sur le fond, la bonne solution sera peut-être d'authentifier les
certificats par le DNS, une fois que DNSSEC sera répandu.

> Finalement j'ai fait un gros hack tout dégelasse pour que ça fasse pas chier
> les utilisateurs du planet.

Je m'en fiche un peu beaucoup mais, sur le principe, je trouve que tu
ne devrais pas bidouiller les URL que *je* choisis. Si mon blog est
illisible, c'est mon problème. :-) Mais merci de le rendre lisible !
:-D

Amicalement,
d.

[1] C'est pas de la parano. J'ai programmé des joujoux qui suivent et
analysent quelques connexions IP noyées dans un flux au gigabit.