Firefox 3 : Catastrophique barre d’adresse avec https

[Benoit]

Il y a certainement aussi des questions de favoritisme là-derrière.

Je vois très bien un employé se dire « Oulà, une demande pour Microsoft j'ai pas toutes les preuves mais je vais pas les embêter mon boss serait pas content, par contre le petit français là-bas c'est louche en plus son site il parle une langue bizarre. Et celui-là ? Il a payé tout de suite et son Fax a un chouette en-tête avec un joli logo, il doit être honnête ». Etc.

C'est clair qu'à long terme ça fait baisser la valeur d'un tel certificat en général. Et évidemment ce sont les gens honnêtes qui ont vraiment fait toutes les démarches qui trinquent. Je suppose que ces fameux certificats EV sont beaucoup plus chers… alors que c'est comme ça que tous les certificats auraient dû être vérifiés depuis le début.

Mais je ne crois pas qu'on puisse reprocher à Firefox de ne dire que la vérité : on sait que l'autorité de certification a accordé le certificat au propriétaire du site (ils ont échangé un fax ou quelque chose comme ça), mais on a aucun moyen de savoir si ce propriétaire a menti sur son identité. Et comme dans d'autres domaines, quand il y a un choix à faire sur la personne à favoriser entre l'utilisateur et le producteur de contenu, Firefox va toujours choisir l'utilisateur.

[morine]

Il y a très probablement un accord commercial entre mozilla et Verisign pour faire reconnaître Verisign comme le seul et unique certificateur "officiel" et sérieux, en inquiétant l'utilisateur qui n'utiliserait pas des sites sécurisés par Verisign, forçant les sites à certifier uniquement avec Verisign.

C'est Verisign lui-même qui fait sa propre extension VeriSign EV Green Bar Extension

Il y a un juteux marché derrière.

[teoli2003]

Il y a très probablement un accord commercial entre mozilla et Verisign pour faire reconnaître Verisign comme le seul et unique certificateur "officiel" et sérieux, en inquiétant l'utilisateur qui n'utiliserait pas des sites sécurisés par Verisign, forçant les sites à certifier uniquement avec Verisign.

C'est Verisign lui-même qui fait sa propre extension VeriSign EV Green Bar Extension

Il y a un juteux marché derrière.

C'est faux. Il y a un audit pour vérifier les fournisseurs de certificats EV. (MS en fait aussi un, il coûte de l'ordre de 100'000 euros, j'avais demandé pour une entreprise dans lequel je travaillais). Pour l'instant seul Verisign l'a fait. Si d'autres le font, leurs certificats seront intégrés dans une 3.0.x.

Info là: http://www.mozilla.org/projects/security/certs/policy/

En particulier:

We will not charge any fees to have a CA's certificate(s) distributed with our software products.

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9) Gecko/2008052906 Firefox/3.0

[morine]

N'en sois pas si sûr.
Un accord commercial signifie que tu obliges les sites à travailler avec VeriSign qui est en position de monopole.
En 2005, Paypal (filliale d' Ebay) rachète pour la modique somme de 360 millions de dollars en actions et au comptant, la solution de paiements sécurisés de VeriSign : VRSN.

L'objectif est de faire payer à prix fort les gros clients qui peuvent payer de telles sommes, et d'attirer tous les autres afin de verouiller le système.

Une situation de monopole est-elle bonne ou pas ? C'est discutable.

[teoli2003]

Un accord commercial signifie que tu obliges les sites à travailler avec VeriSign qui est en position de monopole.

Ben ce n'est pas le cas, le lien donné énonce les conditions pour que ton certificat soit intégré.

Si tu respectes les conditions publiques (ce n'est pas trivial mais tout à fait possible), ton certificat peut être rajouté *gratuitement*.

Donc pas de monopole "arrangé" comme tu le sous-entends (ou alors cite une source).

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9) Gecko/2008052906 Firefox/3.0

[The RedBurn]

Il y a très probablement un accord commercial entre mozilla et Verisign pour faire reconnaître Verisign comme le seul et unique certificateur "officiel" et sérieux, en inquiétant l'utilisateur qui n'utiliserait pas des sites sécurisés par Verisign, forçant les sites à certifier uniquement avec Verisign.

Il y a un juteux marché derrière.

C'est faux. Il y a un audit pour vérifier les fournisseurs de certificats EV. (MS en fait aussi un, il coûte de l'ordre de 100'000 euros, j'avais demandé pour une entreprise dans lequel je travaillais). Pour l'instant seul Verisign l'a fait. Si d'autres le font, leurs certificats seront intégrés dans une 3.0.x.

Non, il y a aussi Go Daddy, Starfield Technologies, DigiCert et Trustwave.

[morine]

Il faut analyser le sujet VeriSign / Firefox 3 en détail pour comprendre.

Seul VeriSign fournit un certificat SSL dit EV (Extended Validation).
Le problème est spécifiquement le certificat EV, donc VeriSign.

C'est un excellent système de verrouillage du business SSL.
Y a-t-il des accords commerciaux explicites entre Mozilla et VeriSign ? Va savoir.....

[calimo]

Manifestement il y en a encore plus : http://en.wikipedia.org/wiki/Extended_V ... tification

Et c'est bien indiqué "vérifié par..." autre que VeriSign...

Et aussi :

a number of CAs have been promoting EV prices below $500.

On est loin du monopole et des 100'000 à mon avis

[teoli2003]

below $500. On est loin du monopole et des 100'000 à mon avis

100'000 c'est ce que demandais MS à l'époque (~2000) pour l'inclusion d'un nouveau CA, pas le coût pour acheter un certificat EV

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9) Gecko/2008052906 Firefox/3.0

[teoli2003]

Bon, la question est réglée. Il n'y a pas de monopole de Verisign ni en global ni même dans Fx 3.

La preuve: le certificat EV de ce site: https://www.geotrust.com/products/ssl_c ... sid_ev.asp est en vert et pas signé par Verisign.

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9) Gecko/2008052906 Firefox/3.0

[olivier-Toulousain]

A quand un update d’urgence ?

Pour l’instant je déconseille vivement le passage à Firefox 3 à mes 8542 clients.


Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9) Gecko/2008052906 Firefox/3.0

Et moi donc =, je ne vais pas ouvrir un sujet sur mes problémes !
j'utilise firefox 2.14 depuis plus d'un an, sans probléme. le passage à la version 3 a été catastrophique !!!!!!!

plantage de firefox, impossible de le redémarrer, il a fallut que je le vire pour recharger la 2.14.
c'est bien la dernière fois que je ne patienterai pas un mois après avant de télécharger une maj.
de toute façon j'ai désactivé la maj jusqu'au 1 aout et je conseille à mes contacts d'en faire de même.

[calimo]

Ce qui colle aussi avec http://wiki.mozilla.org/EV
VeriSign n'est qu'un acteur des EVC (parmi d'autres CA, et bien entendu pas désintéressé), qui est manifestement ouvert à tous (après, libre à Mozilla d'inclure ou non les certificats racine des autorités).

[danyb]

Pour l'instant seul Firefox 3 met la panique en disant le détenteur du certificat est inconnu ce qui est bien sur faux et je le redis.

Dans la version 2 de Firefox seul Firefox 2 édité une ligne jaune pour dire que le site est sécurisé. Les autres se contenté de mettre un petit cadenas jaune.
Un jour Verisign décida de faire beaucoup plus d'argent en instaurant une ligne verte uniquement dans IE avec le certificat EV.

Ce certificat n'apporte strictement rien de plus en terme sécurité, ni en reconnaissance des sites qui l'utilisent. La procédure pour obtenir la bande verte n'est pas plus sécurisé il suffit de faire un chèque.
C'est uniquement de l'apparence, ça fait sérieux et bien mais c'est pipeau.

Un exemple simple un certificat Verisign pour un site coute 820 euros pour 2 ans avec EV le prix passe à 2150 euros pour 2 ans... cherchez l'erreur

Tous les certificateurs font des certificat EV verisign n'est pas seul en cause.

Pourquoi Firefox 3 ne lit pas le certificat en entier comme le fait le sceau verisgn qui est fourni gratuitement lors de l'achat. Cela permettrais au moins de pas mettre un doute supplémentaire dans l'esprit des gens en disant le détenteur est inconnu.

[The RedBurn]

Manifestement il y en a encore plus : http://en.wikipedia.org/wiki/Extended_V ... tification

Je n'ai cité que ceux qui n'appartiennent pas à VeriSign et qui sont supportés par Firefox 3

Bon, la question est réglée. Il n'y a pas de monopole de Verisign ni en global ni même dans Fx 3.

La preuve: le certificat EV de ce site: https://www.geotrust.com/products/ssl_c ... sid_ev.asp est en vert et pas signé par Verisign.

L'exemple n'est pas idéal, GeoTrust appartenant à VeriSign et étant supporté par l'extension VeriSign EV Green Bar.

olivier-Toulousain> Un peu hors sujet, peut-être ? Et puis, quel est le but de ton message ?

[The RedBurn]

Ce certificat n'apporte strictement rien de plus en terme sécurité, ni en reconnaissance des sites qui l'utilisent. La procédure pour obtenir la bande verte n'est pas plus sécurisé il suffit de faire un chèque.
C'est uniquement de l'apparence, ça fait sérieux et bien mais c'est pipeau.

Peux-tu apporter des preuves pour corroborer ce que tu affirmes ?