Le 20/04/2015 10:21, J. Fernando Lagrange a écrit :
Il y a des mesures supplémentaires/différentes de vérification, comme DANE, mais il me semble qu'il n'est pas actuellement implémenté dans les navigateurs (il faut un module complémentaire pour Firefox, par exemple).
Sur ce point, le serveur *mail* Postfix est assez bien positionné question sécurité : il implémente TLS et DANE, voire même la vérification d’un fingerprint spécifique (*).
Il existe même un service web où il est possible de vérifier qu’un serveur mail STMP supporte bien TLS+DANE :
(*) je m’étais amusé à enregistrer sur mon serveur mail le fingerprint de la clé publique de Gmail (SMTP), et ai été stupéfait de constater que celui-ci avait changé début mars 2015 pour leur certificat qui expirait début avril — d’habitude il est plutôt conseillé, je crois, de garder la même clé lorsqu’on renouvelle le certificat, enfin bon. Ça m’a donné l’occasion de voir en live que la vérification par fingerprint était efficace.
PS : merci du lien Transparency de Gmail, et content de voir qu’il y a autant de mails chiffrés dans leur transport de/vers Gmail : même si TLS + l’infrastructure des CA est perfectible, c’est largement mieux que rien.
PPS : puisque c’est la première fois que je poste ici, présentation rapide : hacker-bidouilleur, Wikipédien, sous GNU/Linux bien-sûr (Mint LMDE), sysadmin amateur-autodidacte depuis 7 ans, entrepreneur-consultant depuis peu.
Sébastien / Seb35