[OSM-talk-fr] [HS] Certificats & Co (was: Ajout sur planet.openstreetmap.fr ?)

Mar 30 Juin 12:34:44 UTC 2009

2009/6/30 David MENTRE <dmentre at linux-france.org>

> Salut Vincent,
>
> Le 30 juin 2009 12:21, Vincent MEURISSE<osm-talk-fr at meurisse.org> a écrit
> :
> > Sinon c'est quoi l'intérêt de https pour toi ?
>
> Je pense que *tout* le trafic web devrait être en HTTPS : banque,
> achats, blogs, OSM, Wikipédia ou autre. Ne serait-ce que pour éviter
> que mon employeur, mon ISP[1], le gouvernement ou mon voisin de
> hotspot wifi sache ce que je regarde, ce qui m'intéresse ou ce que
> j'achète.
>

Oui, enfin, tu as plutôt intérêt a avoir des serveurs plus puissants alors,
parce que utiliser https n'est pas gratuit. A la limite, tu peux acheter un
serveur avec des offloads SSL mais bon ce n'est plus tout a fait le même
prix. De plus, récemment, il y a eus des attaques man in the middle sur SSL
lie a la fonction de hash.
Le proxy que j'utilise au boulot est capable justement d'intercepter le
https et de signer avec son propre certificat. C'est hyper pratique pour
debugguer. Tu n'as aucune garantie qu'a terme ce genre de chose ne se
généralise. Tu sauras juste que le certificat est remplace. De plus, avec la
loi Francaise, il est tout a fait possible pour l'Etat (je généralise toutes
les différentes administrations) demandent la clé pour déchiffrer ce qu'ils
veulent. Donc si tu écris sur un site particulier, et qu'ils veulent suivre
ça, ils pourront s'ils en font la demande au site.
Et puis sincèrement mettre https sur un blog, c'est vraiment n'importe quoi.
Ils seront toujours capables de savoir ce que tu lis. Il existe une chose
nommée url qui généralement donne beaucoup d'information sur le site sur
lequel on va même si c'est en https......

>
> Partiellement d'accord. Oui les certificats auto-signés c'est pas la
> panacée. Mais c'est mieux que de tout passer en clair. C'est quand
> même incroyable qu'il soit plus facile de passer un mot de passe en
> clair (l'authentification dans OSM par exemple) qu'avec une connexion
> chiffrée avec un certificat auto-signé !

Il est clair que le fait qu'OSM n'utilise pas un certificat pour se logger
est léger.

>
> Et si ta banque a un certificat auto-signé, change de banque. ;-)
> (même si, sur le fond, je ne trouve pas un certificat Verisign
> beaucoup plus sûr qu'un certificat dont j'aurais moi-même vérifié
> l'empreinte) Quand à Mme Michu, certificat auto-signé ou pas, elle n'y
> comprend que dalle et ne fait même pas la distinction entre HTTP et
> HTTPS.

Tout dépend de la fonction de Hash que tu utilises :) Firefox a un
mechanisme pour détecter certaines incohérences sur les certificats qui a
tendance a repérer certains certificats auto signes.

>
> Sur le fond, la bonne solution sera peut-être d'authentifier les
> certificats par le DNS, une fois que DNSSEC sera répandu.
>

On verra. Sincèrement, si tu veux de la crypto forte, utilise les GPG (ou
PGP) distribues par le DNS :) D'ailleurs il va falloir que je trouve un
script pour rajouter le support GPG sur gmail.

>
> [1] C'est pas de la parano. J'ai programmé des joujoux qui suivent et
> analysent quelques connexions IP noyées dans un flux au gigabit.
>

Le DPI est la parmi nous pour y rester.

Emilie Laffray
-------------- section suivante --------------
Une pièce jointe HTML a été nettoyée...
URL: <http://lists.openstreetmap.org/pipermail/talk-fr/attachments/20090630/c093d7c7/attachment.htm>