[OSM-talk-fr] [HS] Certificats & Co (was: Ajout sur planet.openstreetmap.fr ?)

[David MENTRE]

Bonjour Émilie,

Le 30 juin 2009 14:34, Emilie Laffray<emilie.laffray at gmail.com> a écrit :
> Oui, enfin, tu as plutôt intérêt a avoir des serveurs plus puissants alors,
> parce que utiliser https n'est pas gratuit.

Je fais le pari que c'est de la légende urbaine. :-) Vu les CPU qu'on
a de nos jours, la crypto n'est pas vraiment un problème. Tu as fait
des tests sur une machine récente ?

> A la limite, tu peux acheter un
> serveur avec des offloads SSL mais bon ce n'est plus tout a fait le même
> prix.

Je ne dis pas que de gros sites comme Wikipédia n'ont pas besoin
d'offload, mais ça reste marginal à mon avis.

> De plus, récemment, il y a eus des attaques man in the middle sur SSL
> lie a la fonction de hash.

Oui, aucun système n'est parfait. Mais si on ne l'utilise pas, il ne
risque pas de s'améliorer.

> Le proxy que j'utilise au boulot est capable justement d'intercepter le
> https et de signer avec son propre certificat. C'est hyper pratique pour
> debugguer. Tu n'as aucune garantie qu'a terme ce genre de chose ne se
> généralise.

À mon avis, les services secrets l'utilisent déjà. Ou alors vraiment
ce sont des incompétents. :-) Quand au système d'interception du
HTTPS, si les certificats sont vérifiés (auto-signés ou pas),
l'attaque est détectée.

> Tu sauras juste que le certificat est remplace.

C'est déjà beaucoup.

> De plus, avec la
> loi Francaise, il est tout a fait possible pour l'Etat (je généralise toutes
> les différentes administrations) demandent la clé pour déchiffrer ce qu'ils
> veulent. Donc si tu écris sur un site particulier, et qu'ils veulent suivre
> ça, ils pourront s'ils en font la demande au site.

Oui, mais cette demande devra être officielle et tu le sauras. Ou pas
(cf. supra ;-).

> Et puis sincèrement mettre https sur un blog, c'est vraiment n'importe quoi.

Merci. :-) Je te rassure, je n'ai pas encore supprimé le HTTP. :-D

> Ils seront toujours capables de savoir ce que tu lis. Il existe une chose
> nommée url qui généralement donne beaucoup d'information sur le site sur
> lequel on va même si c'est en https......

L'URL ne passe pas en clair dans une connexion HTTPS. Même le nom du
site web ne passe pas (d'où les problèmes avec les virtual hosts sur
un même serveur, même s'il y a maintenant des solutions). On sait
évidemment à quels serveurs tu te connectes par le DNS.


> On verra. Sincèrement, si tu veux de la crypto forte, utilise les GPG (ou
> PGP) distribues par le DNS :)

J'utilise GPG pour les emails, avec quelques rares correspondants qui
savent ou veulent s'en servir.

> D'ailleurs il va falloir que je trouve un
> script pour rajouter le support GPG sur gmail.

FireGPG : http://fr.getfiregpg.org/s/home

> Le DPI est la parmi nous pour y rester.

Oh que oui. D'où l'importance de chiffrer. Ça augmente de beaucoup le
coût de la DPI (Deep Packet Inspection).

Amicalement,
d.