2008/5/16 Patrice Karatchentzeff <patrice.karatchentzeff@???>:
> Le 16 mai 2008 15:45, Olivier Allard-Jacquin <olivieraj@???> a écrit :
>> Patrice Karatchentzeff a écrit :
>>> Le 16 mai 2008 15:25, Olivier Allard-Jacquin <olivieraj@???> a écrit :
>
> [...]
>
>>> Oui, il y en a un paquet mais la plupart ont des certificats
>>> auto-signés donc cela ne change rien...
>>
>> Pardons ?
>>
>> Tu parles de quoi là ?
>>
>> - Authenticité: Attaque de type "man in the middle", où un attaquant
>> pourrait se faire passer pour le serveur sur lequel tu veux te connecter ?
>> - Confidentialité: Impact sur la qualité du chiffrage SSL négocié entre
>> client et serveur ? On parle là de risque que les données chiffrées
>> soient exposées.
Ca devient intéressant :
A priori : pour l'authenticité ca ne change pas grand chose coté
serveur Web : qui vérifie les certificats lorsqu'il se connecte à un
site web ? Même les certificats issuent d'une "vrai" CA n'ont plus
beaucoup de valeurs. C'est d'ailleurs pour cela qu'ils ont fait les
Extended Validation SSL qui montrent une jolie barre verte à
l'utilisateur (
http://www.verisign.com/ssl/ssl-information-center/faq/extended-validation-ssl-certificates.html)
Pour la confidentialité en revanche, si quelqu'un capture le traffic
HTTPS dès la connexion, il doit bien pouvoir essayer toutes les clées
"faibles" pour lire les données, non ?
Le problème c'est que la sécurité était le fer de lance de Debian.
Mais bon, ca reste un incident technique, pour que ca remonte dans les
media, il faudrait que ca soit associé à une affaire concrete.
--
Bruno VERNAY
