Certificats de sécurité, humpf!

Quand tout est (trop ?) bien organisé, il y a besoin d'une ouverture. Ici on parle de tout, mais pas de n'importe quoi, vous êtes prévenus.

Certificats de sécurité, humpf!

Message par Grunt » 18 Juin 2008, 18:58

Bon, je viens de tester le Firefox 3, plus léger, plus efficace, un vrai bonheur en somme..

Juste un bémol, et pas des moindres: les sites dont le certificat de sécurité n'est pas inclu dans Firefox. Exemple:

http://no-log.org/

C'est ma boîte mail. Allez-y et cliquer sur un lien sécurisé avec Firefox 3, vous verrez comme il va hurler (quelque chose comme l'UAC de Vista en pire). Avec des messages qui laissent entendre que ce site est dangereux, que c'est pas normal qu'il n'ait pas de certificat, etc..

C'est beaucoup faire pour un site sécurisé dont Firefox ne connaît pas le certificat, quand même ! On cède à la parano ambiante autour du fisching et compagnie? En tout cas, cela m'amène à faire une remarque et poser une question:

- Faire autant de toutim pour accepter un certificat de sécurité, c'est vraiment nécessaire? Je sais que les utilisateurs lambdas ne sont pas très malins, mais bon. Si le site est un site de fisching, il est en http et ceux qui s'y laissent prendre ne s'en rendent même pas compte. Si l'utilisateur sait ce qu'il fait, inutile de l'effrayer!

- Les certificats préinstallés sont choisis comment? C'est pas pour troller, mais je trouve que mes mails sont mieux abrités sur no-log.org que que gmail.com, et pourtant si je me fie à ce que hurle Firefox, gmail.com c'est normal et no-log.org c'est super louche. Quel critère a été choisi pour préinstaller des certificats?

Message envoyé avec : Konqueror
Debian GNU/Linux, What Else?
Grunt
Arias
 
Message(s) : 10
Inscription : 18 Juin 2008, 18:42

Message par Nicosmos » 18 Juin 2008, 19:07

Je crois pas que c'est des certificats préinstallés, il me semble plutôt qu'il regarde leur contenu ... et si il manque une information dans un "champs" important, comme le nom du fournisseur (je dis "champs", mais je n'ai aucune idée du format d'un certificat), Firefox affiche l'erreur. (Le certificat n'est pas valide = Le certificat n'est pas complet = Le certificat n'est pas très bien fait = Ce n'est peut être pas si sécurisé). :P

Après, je suis d'accord, le message d'erreur et les 5 clics qu'il faut faire pour accepter, c'est de l'ergonomie niveau 0. :)

Message envoyé avec : Mozilla/5.0 (X11; U; Linux i686; fr; rv:1.9) Gecko/2008052912 Firefox/3.0
Avatar de l’utilisateur
Nicosmos
Iguane
 
Message(s) : 631
Inscription : 20 Août 2005, 14:17
Localisation : Perpignan & Aix-en-Provence

Message par Grunt » 18 Juin 2008, 19:20

Apparemment, non.

Firefox est fourni avec des certificats de certaines autorités de certication, et celui de Cacert : http://www.cacert.org/index.php?id=3&lang=fr_FR
n'en fait pas partie.

Je me demandais comment étaient choisis ces certificats, c'est tout. Une liste "officielle" de certificats payants pour les banques, les webmails commerciaux.. est installée, mais pas ceux de Cacert. Ce n'est pas une critique, mais juste une question: quels sont les critères de choix?.=
http://www.cacert.org/index.php?id=51

Je devrais déplacer le topic dans "support", non?


Message envoyé avec : Konqueror
Debian GNU/Linux, What Else?
Grunt
Arias
 
Message(s) : 10
Inscription : 18 Juin 2008, 18:42

Message par Benoit » 18 Juin 2008, 22:53

Je crois que c'est un sujet intéressant en général sur la politique de Mozilla et pas seulement sur ce site en particulier.

Voici le bug qui demandait l'inclusion de CAcert :
https://bugzilla.mozilla.org/show_bug.cgi?id=215243

Comme c'est un peu long à lire, je te résume :)

Mozilla a adopté une politique de sécurité particulière pour l'inclusion de certificats d'autorités de certification (ce qui devrait répondre à ta question sur les critères de choix). Cette politique demande notamment que ces autorités fassent l'objet d'un audit de sécurité indépendant (point 6). Cet audit n'a pas encore été réalisé en ce qui concerne CAcert, ce qui a conduit son représentant à fermer le bug en attendant (commentaire 165 !).

Un tel audit est en cours du côté de CAcert, mais avance apparemment très lentement. Dès qu'il sera fini, il est probable qu'un nouveau bug sera ouvert et le certificat intégré dans Mozilla. Pour savoir quand, tu peux suivre cette page, ou simplement le blog de CAcert qui en parle tous les deux mois environ.
♫ Li tens s'en veit, je n'ai riens fais ;
Li tens revient, je ne fais riens. ♪
Avatar de l’utilisateur
Benoit
Administrateur
 
Message(s) : 4895
Inscription : 19 Juil 2003, 10:59
Localisation : Bruxelles, Belgique

Re: Certificats de sécurité, humpf!

Message par calimo » 19 Juin 2008, 08:23

Grunt a écrit :Avec des messages qui laissent entendre que ce site est dangereux
Ah bon, tu vois ça toi ?

Moi j'ai :
Échec de la connexion sécurisée

www.no-log.org utilise un certificat de sécurité invalide.

Le certificat n'est pas sûr car l'autorité délivrant le certificat n'est pas éprouvée.

(Code d'erreur : sec_error_untrusted_issuer)


* Ceci peut-être dû à un problème de configuration du serveur ou à une personne essayant d'usurper l'identité du serveur.

* Si vous vous êtes déjà connecté avec succès à ce serveur, l'erreur est peut-être temporaire et vous pouvez essayer à nouveau plus tard.

Ou vous pouvez ajouter une exception…
:roll:
Membre de l'April - « promouvoir et défendre le logiciel libre »
http://www.april.org
Avatar de l’utilisateur
calimo
Animal mythique
 
Message(s) : 14115
Inscription : 26 Déc 2003, 12:51
Localisation : 46°11'49N 06°06'03E

Message par lolito » 28 Juin 2008, 14:03

C'est du grand foutage de gueule leur histoire de certificat. Le mien est aussi sûr que celui du pentagon et sous prétexte qu'il n'est pas "éprouvé" (approuvé serait plus juste...) par une autorité de confiance" corrompue, il est désigné "non sûr, non valable, bidon, etc". D'ailleurs le vôtre auto signé est également foireux si j'en juge le message d'alerte ! https://www.geckozone.org

ça pue le business à 10000 kilomètres leur salade et ils emmerdent non seulement les admin de site web mais également les internautes ! (36 messages d'alerte à la con pour valider un certif ultra sûr, faut pas pousser quand même !).

Si un site n'est pas fiable c'est lui-même qui en paiera les pots cassés sur les dommages causés si dommages il y a...firefox n'a rien à voir là dedans ! (ou alors qu'ils blacklist les sites avérés risqués si ça les chante au lieu d'englober tout et n'importe quoi !).

Qu'ils continuent dans cette voie et on retirera bonnement et simplement les connexion sécurisées de nos sites. Pour le coup ce ne sera plus du tout fiable et ironie du sort, firefox ne gueulera plus !
lolito
Gecko
 
Message(s) : 50
Inscription : 25 Fév 2007, 14:59

Message par Philippe-Pierre » 28 Juin 2008, 16:17

Je viens de passer outre l'avertissement "certificate non éprouvé par une autorité de confiance" pour... m'inscrire à une liste de diffusion de l'aful...

Pas bien de décourager les bonnes volontés...

Ce terme d'"autorité de confiance", sans autre précision, est passablement choquant.
Le certificat devrait être validé par guinnessworldrecords.com, peut être?

Message envoyé avec : Mozilla/5.0 (X11; U; Linux i686; fr; rv:1.9) Gecko/2008052912 Firefox/3.0
Cordialement,

Philippe
----
* Dedicated to software which sucks less ... http://suckless.org/
Avatar de l’utilisateur
Philippe-Pierre
Lézard à collerette
 
Message(s) : 475
Inscription : 29 Août 2006, 19:58

Message par Rpkx » 28 Juin 2008, 19:22

Salut,

Ce terme d'"autorité de confiance", sans autre précision, est passablement choquant.


Je suis de cet avis également.
Qui accorde un certificat de confiance à ces "autorités de confiance" ?

Quand on voit avec quelle facilité on peut avoir un certificat de Thawte ou de Comodo en donnant simplement une adresse e-mail valide je me dis qu'un message signé par PGP ou GnuPG est tout aussi sûrement authentifié.

PGP Global Directory me contacte périodiquement pour que je confirme la validité de ma clé publique. Il n'est donc pas question de donner une adresse bidon et puis de l'abandonner.

Toutes ces certifications payantes pour qu'il y ait un minimum de vérification de l'identité de la personne, ce n'est finalement encore qu'une affaire de gros sous.

Payer quelques dizaines de $ pour une société cela n'est rien, mais moi simple particulier qui aurai quelques fois par an vraiment besoin de m'authentifier, c'est beaucoup trop.

Et si un site https:// fournit des programmes signés numériquement, cela ne prouve nullement que ces programmes ne contiennent pas un malware quelconque, peu importe le certificat utilisé.

Internet devient vachement commercial, autrement dit pourri.

À force de jouer le jeu de ces sociétés, sous prétexte de sécurité, Firefox va décourager ses utilisateurs, qui en auront marre d'être infantilisés.
Si le but est de protéger d'eux-mêmes les américains crédules (un pléonasme), il faut laisser le choix aux autres qui préfèrent s'assumer.

@+

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.0; fr; rv:1.9) Gecko/2008052906 Firefox/3.0
Ma config
Il n'y a que deux choses infinies: l'univers et la bêtise humaine et encore, pour l'univers, je ne suis pas sûr (Einstein)
Avatar de l’utilisateur
Rpkx
Varan
 
Message(s) : 1196
Inscription : 13 Nov 2006, 15:39
Localisation : Liège, 5 km (BE)

Message par teoli2003 » 28 Juin 2008, 20:16

Je vois pas le soucis...

N'importe qui peut devenir autorité de certification. C'est facile cela prend 5 minutes. Coût: 0.

Beaucoup le font sans même le savoir (certificats autosignés, certificats des intranets).

Pas de soucis. La validation se fait manuellement (contrôle du hash/remise en main propre/...)

Mozilla intègre *gratuitement* les certificats des CA qui le demande, mais comme cela donne des garanties aux cert issus par ces CA (DV: possesseur du domaine est bien le possesseur du cert, EV: comme DV + nom de la société correcte), Mozilla doit vérifier que ces CA se comportent correctement (ne pas publier un certificat geckozone.org au possesseur du site malwareinc.cc, garder de manière sécurisée leurs CA root, génération des clés privées de manière sûre et non prédictibles, ...)

Tout cela est fait par une société d'audit. Les coûts sont à la charge du demandeur.

Si vous faites confiance à un site donné ou un CA donné qui n'est pas reconnu par Firefox, ben c'est simple vous ajoutez une exception.
Si vous ne faites pas confiance au processus de Mozilla, vous effacez les certificats qui vous gênent.

Message envoyé avec : Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.5; fr-FR; rv:1.9.1a1pre) Gecko/2008062802 Minefield/3.1a1pre
La liberté n'est jamais accordée de bon gré par l'oppresseur; elle doit être exigée par l'opprimé (Martin Luther King).
Les convictions sont des ennemis de la vérité plus dangereux que les mensonges. (Nietzsche).
Native Mozillian.
teoli2003
Animal mythique
 
Message(s) : 7578
Inscription : 13 Nov 2005, 10:23

Message par lolito » 28 Juin 2008, 21:57

Tu ne vois pas le souci ? Bin flute alors ! C'est simple : soit il y a des choses qui m'échappent et dans ce cas ce serait sympa de ta part d'éclairer de tes lumières ma sombre lanterne, soit telle une baleine tu expires une enveloppe de bulles pour mieux noyer la horde de maquereau !

Je suis moi-même (à minuscule échelle) ce que tu appelles une "autorité de certification". Je dispose d'un CA racine et j'émets des certificats intermédiaires pour 2 tout petit sites (mais néanmoins grandioses). Bref, j'utilise à peu de chose près la même technique que celle utilisée par les immenses aux dents longues. Je n'ai bien évidemment jamais eu le moindre problème de sécurité, tout ceux qui recourent à mes services non plus, et pourtant, firefox, du haut de son pied d'estale, annonce à tout ceux qui voudront bien l'écouter que mes certificats sont je cite : "invalide, pas éprouvé", à cela s'ajoute un code erreur comme s'il s'agissait d'une 404", une mise en doute de ma compétence tout en suscitant la peur ("Ceci peut-être dû à un problème de configuration du serveur ou à une personne essayant d'usurper l'identité du serveur. "), un lien d'exception qui débouche sur 2 boutons "quitter cette page" "ajouter une exception" comme si cliquer sur le lien ne suffisait pas, ensuite nouvelle fenêtre avec en haut de noté "vous êtes en train de passer outre la façon dont firefox identifie ce site", très rassurant n'est-ce pas surtout quant il n'y a rien à craindre !, + "les banques, magasins et autres sites web public ne vous demanderont pas de faire cela", en marquant "raquettés" à la place de banques, magasins, etc, s'eut été plus court !, après faut encore cliquer sur "obtenir le certificat", là tu t'attends a ce qu'il t'accorde enfin le certif tant attendu (ou alors à ce que ton pc explose tellement le risque est grand !) mais non ! A ce moment là il t'en refouts une couche !
"ce site essaie de s'identifier avec des information invalides"
"le certificat n'est pas sur car il n'a pas été vérifié par une autorité reconnue"

!!!!

Si c'est pas jouer sur la peur ça, alors je n'y connait rien (exactement pareil que les rogues).

Et c'est le seul moyen gratuit que je connaisse ! Parce que passer par une société d'audit (accréditée par qui d'ailleur ? parce que je vais direct en créé une pour m'accréditer moi-même si c'est libre !) comme on passerait un examen conduisant à la délivrance d'un titre d'ingénieur diplômé SSL, non seulement c'est grottesque dans le principe mais en + c'est payant !

Et le pire dans tout ça, c'est que ce sont les surfeurs qui vont trinqué...toi, moi, eux. Parce que quoique tu dises, il y aura toujours des petits sites comme les miens qui n'auront pas les moyens de s'offrir un certif émanant d'une autorité de confiance. Et pour un logiciel qui se revendique libre, c'est un joli foutage de gueule.
lolito
Gecko
 
Message(s) : 50
Inscription : 25 Fév 2007, 14:59

Message par Omnisilver » 28 Juin 2008, 22:35

Hello,

Sans vouloir rentrer dans la polémique, je tiens juste à rapeller que piédestal s'écrit piédestal (je vois de plus en plus souvent la faute pied d'estale ... ).

Bon débat :wink:
Avatar de l’utilisateur
Omnisilver
Tyrannosaurus Rex
 
Message(s) : 2358
Inscription : 26 Juin 2004, 19:44

Message par Benoit » 29 Juin 2008, 00:53

Pour continuer dans cette voie, ce n'est pas le certificat qui n'est pas « approuvé », mais bien l'autorité de certification qui n'est pas éprouvée.

C'est-à-dire qu'elle n'a (entre autres) pas fait l'objet d'un audit de sécurité indépendant, comme le demande la politique d'intégration des certificats racine dans Mozilla.

J'en redonne le lien qui vous a peut-être échappé : http://www.mozilla.org/projects/security/certs/policy/
♫ Li tens s'en veit, je n'ai riens fais ;
Li tens revient, je ne fais riens. ♪
Avatar de l’utilisateur
Benoit
Administrateur
 
Message(s) : 4895
Inscription : 19 Juil 2003, 10:59
Localisation : Bruxelles, Belgique

Message par teoli2003 » 29 Juin 2008, 10:37

Lolito, moi je considère tes certificats (de CA) comme pas sûrs. Comment tu fais pour me garantir le contraire? Comment fais-tu pour me garantir que tu as bien fait les contrôles que tu prétends avoir fait sur ceux que tu créés pour tes clients?

Message envoyé avec : Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.5; fr-FR; rv:1.9.1a1pre) Gecko/2008062802 Minefield/3.1a1pre
La liberté n'est jamais accordée de bon gré par l'oppresseur; elle doit être exigée par l'opprimé (Martin Luther King).
Les convictions sont des ennemis de la vérité plus dangereux que les mensonges. (Nietzsche).
Native Mozillian.
teoli2003
Animal mythique
 
Message(s) : 7578
Inscription : 13 Nov 2005, 10:23

Message par lolito » 29 Juin 2008, 17:34

teoli2003 a écrit :Lolito, moi je considère tes certificats (de CA) comme pas sûrs. Comment tu fais pour me garantir le contraire? Comment fais-tu pour me garantir que tu as bien fait les contrôles que tu prétends avoir fait sur ceux que tu créés pour tes clients?

Message envoyé avec : Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.5; fr-FR; rv:1.9.1a1pre) Gecko/2008062802 Minefield/3.1a1pre


Parce que quoique je fasse, j'aurais toujours ladite procédure à me cogner ! Présentes-moi une technique sûre et gratuite alors ? Ou donne-moi un lien par lequel on passe direct en connexion sécurisée sans disposer d'un certificat émanant d'une autorité de confiance ? Il doit bien y avoir une personne compétente ici en ce bas monde ?

Et puis le seul message d'alerte que j'ai c'est "le certificat n'a pas été validé par une autorité de confiance", rien d'autre. Et pour le faire valider, faut payer.

Qu'il veuille ne pas pourrir leur base de certificat ok, mais de là à obliger tout le monde à se taper toute cette nouvelle procédure d'exception ya une marge. (avant avec les précédentes versions, c'est à dire ya pas plus tard qu'une semaine, 1 seule fenêtre d'alerte suffisait à valider temporairement ou définivement un certificat n'émanant pas d'une autorité de confiance, on l'acceptait ou on le refusait en toute connaissance de cause. Simple, clair et rapide. Maintenant, c'est combien d'alerte ? Je te pose la question ? Et pour exactement la même chose !)
lolito
Gecko
 
Message(s) : 50
Inscription : 25 Fév 2007, 14:59

Message par teoli2003 » 29 Juin 2008, 18:05

Donc si j'ai bien compris, tu dis qu'il n'y aucun autre moyen pour que je puisse avoir confiance en ton certificat.

Je suis bien content que Firefox me dise qu'il n'est pas sûr. Puisqu'il ne l'est pas pour moi. Je n'ai aucune garantie que tu ne sois pas un pirate chinois utilisant ton CA pour faire des certificats falsifiés des banques de la place.


Message envoyé avec : Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.5; fr-FR; rv:1.9.1a1pre) Gecko/2008062902 Minefield/3.1a1pre
La liberté n'est jamais accordée de bon gré par l'oppresseur; elle doit être exigée par l'opprimé (Martin Luther King).
Les convictions sont des ennemis de la vérité plus dangereux que les mensonges. (Nietzsche).
Native Mozillian.
teoli2003
Animal mythique
 
Message(s) : 7578
Inscription : 13 Nov 2005, 10:23

Suivant

Retour vers Tribune libre

Qui est en ligne ?

Utilisateur(s) parcourant ce forum : Google [Bot] et 1 invité

cron