[OSM-talk-fr] Ajout sur planet.openstreetmap.fr ?

Vincent MEURISSE osm-talk-fr at meurisse.org
Mar 30 Juin 14:25:09 UTC 2009


> > Cacert a l'avantage de pouvoir être ajouté dans un navigateur. Une fois
> > que c'est fait on est tranquille.
>
> De même pour l'auto-signé.
Non CaCert je l'ajoute une fois et je suis tranquille. Les auto-signés faut 
rajouter tous les sites. Et comment lors d'un changement de certificat je sait 
si il est légitime ou pas ? Imaginons osm.org avec un certificat auto-signé. Un 
jour je vais sur le site le certificat à changé. Comment je sais si l'ancien à 
expiré ou si quelqu'un a pris le contrôle du serveur DNS et me redirige vers 
un aspirateur de mots de passe

> > Sinon c'est quoi l'intérêt de https pour toi ?
>
> Le flux chiffré + la garantie de revenir sur le même serveur
> que la première fois.
Auto-signé ou pas faut changer le certificat de temps en temps. Et là paf ! (Ou 
alors si tu le change jamais t'as une conception bizarre de la sécurité)

> Bizarrement j'ai plus confiance dans un certificat que j'ai
> signé moi-même que dans un certificat où j'ai simplement
> dû payer un tiers pour être dans les navigateurs par défaut.
C'est marrant ça. Pour moi un auto-signé est juste un certificat non signé 
(C'est encrypté mais je sais pas ou ça va). Un certificat signé est la même 
chose sauf qu'en plus quelqu'un dit "ce certificat il est bien". Si tu fais pas 
confiance, libre à toi de virer toutes les autorités de certification de ton 
navigateur, t'aura que des auto-signés.

> De même que nous apprenons à détecter les faux billets, les canulars
> en courriel, voir le certificat (l'auto-signé comme les autres) et le
> vérifier fait partie  des bonnes pratiques. C'est bien plus sûr que le
> simple "faîtes moi confiance, fermez les yeux, retournez vous et baissez
> vous madame michou, ça va bien se passer". Ce que tu préconises.
Vu les connaissances informatique moyenne des gens, je pense qu'il vaut mieux 
pour eu croire la liste dans leur navigateur.

PS: Je trouve ça rigolo des conseils en sécurité d'un mec qui utilise les mail 
de la poste. C'est bien eux qui n'ont toujours pas de imap sécurisé, dont le 
webmail est en http par default (et qui pendant longtemps n'avaient pas de 
https du tout), et qui lors de l'ouverture laissaient n'importe qui mettre 
n'importe quoi comme adresse d'expéditeur ?

-- 
Vincent MEURISSE




Plus d'informations sur la liste de diffusion Talk-fr