On Mon, Apr 20, 2015, at 10:21, J. Fernando Lagrange wrote:
Mais: 1- N'importe quelle « autorité de certification » peut créer un certificat pour n'importe quel domaine et sous-domaines « sécurisé », c'est-à-dire utilisant HTTPS. [1]
2- Il existe au moins une autorité de certification française. [2]
L'utilisateur est alors incapable de savoir que son navigateur a accepté un certificat de la mauvaise autorité. Tout est sécurisé, mais au milieu tout est déchiffré (pour les journaux de la boîte noire ?) puis rechiffré (pour google).
Il y a des mesures supplémentaires/différentes de vérification, comme DANE, mais il me semble qu'il n'est pas actuellement implémenté dans les navigateurs (il faut un module complémentaire pour Firefox, par exemple).
Le "SSL pinning" par contre il l'est. Il y a deja eu une histoire avec ANSSI+direction generale du Tresor a ce sujet (avec non-reconaissance de la CA en question dans Chrome & co). Ok, ca necessite une verification de la part de l'utilisateur au moins une fois, mais c'est mieux que rien.