Ma petite parcelle d'Internet...

Un autre regard sur la sécurité informatique, entre autres futilités.

I can has famous too?

Par Sid, mercredi 2 juin 2010 à 08:54 :: Général
Lu 4529 fois :: #408 :: rss :: atom :: English

Cadenas

n effet, tout comme Google, ça y est, moi aussi je suis disponible en HTTPS. Ainsi, vous pourrez consulter le contenu totalement public de ce blog en toute sécurité et protéger vos commentaires ultra-secrets sans JavaScript. Ça fait rêver, hein ? Non ? OK...

Alors pour faire encore mieux, à l'instar de la BNP qui n'en finit pas de nous l'annoncer à la radio, moi aussi je suis disponible sur iPad. Et y'a même pas besoin de passer par la case AppStore pour ça... Toujours pas ?!...

Mais euh !!! "J'veux qu'on parle de moooaaaaaa !!!''...

Ceci dit, pour en revenir au HTTPS, c'est surtout un test du support SNI de Apache évoqué rapidement dans une discussion précédente. Parce que côté sécurisation, comment dire... D'abord, il n'y a pas de certificat correct proprement installé, donc perdu pour l'authentification et la sécurité du lien chiffré tout simplement. Et puis il y a tellement de contenu récupéré en clair sur des sites tiers qu'il y a largement de quoi injecter des saloperies là-dedans sans que votre browser n'y trouve rien à redire.

Et puis surtout, ça ne m'empêche toujours pas de faire des stats ;)

Note : 2.5/5 pour 2 votes

Trackbacks

Aucun trackback.

Les trackbacks pour ce billet sont fermés.

Commentaires

1. Le mercredi 2 juin 2010 à 11:17, par jme

Il est pas top ton certificat... Tu devrais avoir honte...

Réponse de Sid

Raclure ! Tu n'as donc aucune fierté. Ça se paiera à Rennes... :)

2. Le mercredi 2 juin 2010 à 16:12, par neerd

U ca'nt haz famous wiz a vebmail certifikat !

3. Le mercredi 2 juin 2010 à 21:31, par Xorax

Perso je me suis fait faire un certificat gratuit chez StartCom.
Et l'autorité est reconnu comme viable sur firefox > 2.5 apparemment :)
https://www.xorax.info/

Je connaissais pas le SNI, très intéressant pour l'avenir.

4. Le jeudi 3 juin 2010 à 01:15, par Erwann

Encore une AC qui fabrique des certificats avec un numéro de série séquentiel. En 2009 (pour le tien). Utiliser un numéro de série non prédictible est la seule parade efficace contre les collisions MD5. Le jour où les collisions SHA1 apparaîtront, ces ACs seront elles aussi utilisables pour fabriquer de faux certificats.
Deuxièmement, le certificat intermédiaire est invalide à cause de l'extension issuerAltName vide (RFC5280, 4.2.1.6/4.2.1.7, cette extension DOIT contenir au moins une entrée lorsqu'elle est présente).
Troisièmement, la chaîne de certificats ne passe pas la validation PKITS, au moins pour le certificatePolicies (la racine limite l'intermédiaire à n'émettre que des certificats selon la PC référencée par l'OID 1.3.6.1.4.1.23223.1.1.4, et l'intermédiaire a produit un certificat avec une PC référencée par l'OID 1.3.6.1.4.1.23223.1.2.0).
C'est ce que je vois dans l'immédiat, sans aller plus loin. "You get what you pay for" :)

Ajouter un commentaire

Les commentaires pour ce billet sont fermés.

Abonnez-vous

Flux Atom
Flux RSS

À propos...

de ce blog et de son auteur...

Calendrier

« janvier 2012
lun	mar	mer	jeu	ven	sam	dim
						1
2	3	4	5	6	7	8
9	10	11	12	13	14	15
16	17	18	19	20	21	22
23	24	25	26	27	28	29
30	31

I'm in...

Paris (-8°C)

Hitmap

Ma petite parcelle d'Internet...

I can has famous too?

Trackbacks

Commentaires

Ajouter un commentaire

Abonnez-vous

À propos...

Rechercher

Calendrier

Hitmap

Dans la catégorie "Général"

Langues

Catégories

Archives

Liens

Blogs

Webcomics

Chez moi (from me)