Certificat de sécurité du Forum

Bonjour,

Voici le message que j’ai de temps en temps lorsque j’essaie de d’afficher un ancien fil du forum récupéré via Debian/Google en utilisant IceWeasel :

[ul]Échec de la connexion sécurisée

forum.debian-fr.org utilise un certificat de sécurité invalide.

Le certificat n’est pas sûr car il est auto-signé.
Le certificat n’est valide que pour *.zehome.com.

(Code d’erreur : sec_error_untrusted_issuer)
[/ul]

Voilà, tout est dit !

C’est un certificat auto signé, il faut faire une exception si tu approuves le site.
Pour ne pas avoir ce message il faut acheter un vrai certificat chez verisign ou autre.

Et il faut surtout que le certificat fonctionne pour plusieurs nom de domaine.

Dans ce cas on va faire une exeption.

Je me doute qu’il n’y a pas de problème de redirection.

Je me demandais simplement si c’était normal. No problemo et merci pour ces éclaircissements.

Kenavo

Ce qui n’est pas normal c’est que mozilla (depuis firefox 3) ait décidé de mettre une page d’erreur, en bloquant à priori l’accès au site dés qu’on se trouve sur un https avec certificat non conforme aux “entités de confiance”. De plus la procédure du type “je clic je clic je clic “êtes vous sur?” je clic “êtes vous certain?”” pour autoriser un certificat autosigné est vraiment lourde et gonflante.

Ça se désactive? dans about:config pitêtre?

Un peu de lecture, en Anglais, sympathique sur le sujet :slightly_smiling:
about-free-software-ui-and-bad-excuses
firefox3-and-ssl

Je ne sais pas si c’est normal où si ça va dans le sens de la sécurité : phishing et autres.

Toujours est-il que je préfère demander plutôt que d’accorder une autorisation permanente sans vérification.

Je me demande d’ailleurs vers où va l’internet d’antant !

L’anormal est qu’il n’y ait pas un service publique de certification permettant d’avoir sa clef et des certificats authentifiés par l’état.

Histoire d’engraisser cette grosse cochonne d’Edvige ?

A la compilation

[quote=“Aboulafia”]Je ne sais pas si c’est normal où si ça va dans le sens de la sécurité : phishing et autres.

Toujours est-il que je préfère demander plutôt que d’accorder une autorisation permanente sans vérification.[/quote]

Tu parles de pishing. Tu penses à un utilisateur qui ne sait pas trés bien ce qu’est un certificat (signé par une entité de confiance ou autosigné par joe lafritte ou un vilain Mr qui veut lui piquer son identifiant de connexion à sa banque).

Concrètement, ce que firefox propose actuellement c’est:

  • le certificat est de confiance (cacert etc…), OK, je mets un petit cadenas fermé et on mets en sur-brillance l’URL, l’utilisateur se sent en confiance.

  • le certificat est auto signé, OK, j’aboie (la page en question est semblable à une page d’erreur type 401…) à la figure de l’utilisateur qu’il risque sa vie, et s’il veut malgré tout aller sur le site en question il va lui falloir 5 clics et une bonne dose de patience pour y aller.

  • Si l’utilisateur a choisit de considérer ce certificat auto signé comme étant de confiance (de son point de vue), alors l’interface graphique affichera le petit cadenas et la surbrillance comme si c’était un certificat certifié par cacert ou autre.

Pourquoi aboyer à la figure de l’utilisateur? Il est sourd? Il est bête? Il faut à tout prix qu’il sache ce qu’est un certificat et en quoi un certificat auto-signé est éventuellement peut-être parfois un signe de tentative de pishing? Franchement c’est un peu exagéré…

Il vaudrait mieux:

  • Traiter les certificats de confiance comme actuellement (cadenas fermé et tout et tout)
  • Lorsqu’un auto-signé se présente pour la première fois, avertir l’utilisateur que c’est https mais c’est pas pour autant que c’est secure (pas en lui gueulant dessus…) auquel cas:
    –> l’utilisateur sait ce qu’il fait, (c’est son webmail personnel qu’il a pris deux jours à configurer sur sa bécane à la maison, c’est un serveur de son taf ou de l’aful/april qui n’a pas les moyens ou le besoin de se payer un certificat…) Dans ce cas il choisit de considérer le certificat comme de confiance pour moi utilisateur et dans l’interface graphique, les certificats de confiance pour moi utilisateur sont traités différemment des certificats certifiés (pas le même cadenas, un cadenas pas vraiment fermé, autre chose, bref un troisième icone différent de cadenas ouvert (http) et cadenas fermé (https avec certification))
    –> l’utilisateur ne sais pas trop sur quel site il est tombé il lâche l’affaire et va ailleurs.

Si un certificat auto-signé choisi comme de confiance par l’user est modifié, firefox prévient l’user de ce fait…

Avec un système comme ça tout le monde est content. C’est de ce que j’ai compris ce que propose madism.org, développeur Debian au demeurant.

[EDIT] Remplacer CaCert par Thawte, Verisign etc… dans la mesure où le certificat racine de cacert n’est pas par défaut reconnu par ff. Un commentaire intéressant sur la question:

linuxfr.org/2008/11/12/24673.html

[quote]

[quote]
On pourrait aussi retourner le problème en disant qu’une certification CAcert n’a pas grande valeur face à un “vrai” certificat Thawte ou autre autorité de certification payante.[/quote]

Je suis curieux de savoir ce que tu entends par « vrai certificat ». Les certificats émis par CACert.org sont de vrais certificats, conformes au standard X.509 et générés par OpenSSL comme, certainement, ceux de la plupart des acteurs commerciaux qui s’octroient de généreuses rentes en vendant cher des documents électroniques périssables dont la production ne coûte que l’hébergement sécurisé d’une poignée de serveurs.

Bon, il est vrai que certaines personnes sont fières de voir leur identité certifiée par un nom prestigieux tel que « Thawte », « VeriSign » ou « Visa ». Chacun met sa fierté là où il peut. Personnellement, j’ai plus confiance en une entité désintéressée mais dont les vérifications n’en sont pas moins très pointilleuses si j’en crois mon expérience personnelle.[/quote]

entièrement d’accord, mais les pti gars de firefox sont un peu … nuls ? :slightly_smiling:

un peu seulement?? :arrow_right:

Non, ils essaient d’être pédagogue, et ça c’est dangereux! :slightly_smiling:

J’ai également ce problème avec iceweasel et opera, et avec chromium il me faut attendre 30 sec pour que la page s’affiche. :017

Vous dites ça parce que vous avez pas un système qui hurle dès qu’on clique sur une icône… :016


On va tous mourir… :mrgreen:

oué faut que je fasse quelque chose ça m’énerve cette tete de mort :wink:

Oui, c’est énervant, mais c’est encore plus énervant de devoir payer pour l’enlever…

C’est du chantage/racket cette histoire de certificat :smiling_imp:

Oui, c’est énervant, mais c’est encore plus énervant de devoir payer pour l’enlever…

C’est du chantage/racket cette histoire de certificat :smiling_imp: [/quote]
Non t’es pas obligé maintenant il y a des organismes reconnu qui font ça gratuitement.

[quote=“MisterFreez”]…
Non t’es pas obligé maintenant il y a des organismes reconnu qui font ça gratuitement.[/quote]

C’est cool!
Un lien ?