Même pas peur, les alertes des navigateurs

Compte anonymisé · Le 04/09/2014, à 12:02

Alors qu'il n'y a aucune alerte pour les sites non chiffrés, les navigateurs internets donnent des alertes (souvent mal traduite) pour les sites dons les détenteurs ne sont pas certifié (la majorité des sites sécurisés).
Ces alertes font peur au utilisateur faisant croire qu'il y a un risque de sécurité.
enfin bon, ça me gonfle.

alex2423 · Le 04/09/2014, à 12:21

il faut que le navigateur préviennet de toute facon que l'accès n'a pas été certifié sinon cela n'aurait plus de valeur de payer super chère une certification.

Compte anonymisé · Le 04/09/2014, à 12:56

Prévenir est une chose, dire que tel site n'est pas sécurisé en est une autre.

ssdg · Le 04/09/2014, à 13:03

Mais il ne sont pas plus sécurisés qu'un site en simple HTTP tant qu'on a pas vérifié le certificat. (pour moi, ça veut dire pas sécurisé)

Compte anonymisé · Le 04/09/2014, à 13:11

Sauf que c'est la même alerte si un certificat est vérifié mais que ce n'est pas un certificat étendu.
C'est cette alerte que j'ai sur mon site perso (en signature) qui est certifié par Gandi CA (clé 2048 bits) et qui est chiffré en 256 bits.
On est pourtant loin du http

Dernière modification par ignace72 (Le 04/09/2014, à 13:12)

alex2423 · Le 04/09/2014, à 13:16

Je vais sur ton site, je n'ai pas ton alerte et je vois bien qu'il est certifié par Gandi CA. J'utilise la dernière version de Firefox. Je ne pense pas avoir fait un réglage quelconques.

Compte anonymisé · Le 04/09/2014, à 13:27

Une amie a eu encore une alerte en téléchargeant avec Firefox une archive que je lui avait déposé (supprimé depuis).
j'arrive à reproduire ce type d'alerte avec midori et Opera.

Dernière modification par ignace72 (Le 04/09/2014, à 13:27)

Smon · Le 04/09/2014, à 13:34

ssdg a écrit :

Mais il ne sont pas plus sécurisés qu'un site en simple HTTP tant qu'on a pas vérifié le certificat. (pour moi, ça veut dire pas sécurisé)

Bien sûr que si, vu que les communications sont chiffrées.

Je n'ai pas besoin de faire certifier le certificat de mon site perso ... Par contre ça me gonfle de me taper les messages d'erreur des différents navigateurs.

Compte anonymisé · Le 04/09/2014, à 14:01

Ben surtout que la certification ne permet que de prouver que celui qui a déposer le nom de domaine est bien celui qui utilise le nom de domaine.
Rien à voir avec le chiffrement des données.

Elzen · Le 04/09/2014, à 14:22

Sauf changement récent, Midori et quelques autres ne bloquent pas ces sites, mais mettent éventuellement la barre d'adresse en rouge. Pour Firefox, il y a une extension qui permet de dégager cette page horripilante.

Niveau sécurité, il y a clairement trois paliers distincts : HTTP, où tout le monde peut lire tout ce qui se passe ; HTTPS sans certification, où seul le destinataire peut lire (quoiqu'un éventuel proxy indélicat puisse faire des bêtises quand même) sans qu'on ait d'assurance sur son identité ; et HTTPS avec certification, où seul le destinataire peut lire et où un tiers assure son identité (quoique l'éventuel proxy malicieux puisse jouer également ; et qu'il faille du coup faire confiance au tiers. La liste des autorités de certifications inclues de base dans les navigateurs pouvant parfois songeur, confer ceci).

Pour une meilleure sécurité, se référer à ceci.

Et sinon, au niveau du navigateur, le soucis est compréhensible (empêcher les gens de tomber sur des contrefaçons de sites de paiement en ligne, par exemple) ; mais la façon de faire me semble, d'une part, d'un effet limité (un site contrefait peut tout de même se débrouiller pour avoir un certificat valide), et d'autre part douteux en matière de logique (l'intelligence est censée être du côté de l'utilisateur, pas du côté du logiciel).

Histoire de faire un peu d'autopub', j'ai expliqué un peu davantage ces histoires de sécurisation dans cet article.

Compte anonymisé · Le 04/09/2014, à 14:29

Perso je vois quatre paliers :
http
https sans certification
https avec certification standard
et https avec certification étendu (celle qui coute la peau du cul).

Dernière modification par ignace72 (Le 04/09/2014, à 14:30)

Elzen · Le 04/09/2014, à 14:36

Ça dépend de ce qu'on désigne par « palier ». La logique de fonctionnement est la même dans tes deux derniers cas, c'est « seulement » le degré de fiabilité de la certification qui évolue.

Compte anonymisé · Le 04/09/2014, à 14:39

En tout cas, étant particulièrement attaché à la peau de mon cul, le certificat standard (à 12 € ht) me convient bien.

Elzen · Le 04/09/2014, à 14:44

Pour l'écrasante majorité des sites, le fonctionnement sans certification est amplement suffisant. Seuls ceux qui manipulent réellement des données sensibles (compte en banque, notamment) ont réellement besoin d'une certification (et généralement, les sites en question n'ont pas ce soucis de financement).

Compte anonymisé · Le 04/09/2014, à 14:54

Ben je l'ai prise avec le nom de domaine car c'était offert la première année.

alex2423 · Le 04/09/2014, à 14:55

ignace72, je vois parfaitement bien dans ma barre d'adresse Firefox 31 que tu as un certificat certifié par Gandi.

Lorsque ta copine va sur ton site, peux t-elle le voire avec son firefox?
Il faut cliquer sur la pette map monde juste à coté de la flèche pour revenir en arrère.

Je n'ai pas installé l'addon Firefox de Elzen "skip cert error" mais peut être j'en installé qu a désactivé cette fonction d'alerte

Compte anonymisé · Le 04/09/2014, à 15:04

Je lui demanderai la prochaine fois que je l'aurai en ligne.

Elzen · Le 04/09/2014, à 15:06

A priori, la fonction n'est pas désactivable sous Firefox ; c'est justement la raison d'être de Skip Cert Error, qui du coup se débrouille en ajoutant une exception (temporaire ou permanente) à chaque fois que la page d'erreur s'affiche, avant de recharger. Ça a pu changer depuis, mais si tel est le cas, je n'suis pas encore au courant.

Par contre, la certification par Gandi est plutôt récente, je crois. C'est probablement que l'autorité de certification n'a été ajoutée dans Firefox que sur une des dernières mises à jour, et que les gens utilisant une version un peu plus ancienne ne l'ont pas encore. Je vérifierai tout à l'heure avec un Iceweasel un peu plus ancien.

pierrecastor · Le 04/09/2014, à 15:31

Je trouve quand même ça con que ça ne puisse pas se désactiver dans le about:config. Parce que installer des extensions pour pallier à chaque truc qui ne peut pas se gérer dans la config.

ssdg · Le 04/09/2014, à 15:48

ignace72 a écrit :

Perso je vois quatre paliers :
http
https sans certification
https avec certification standard
et https avec certification étendu (celle qui coute la peau du cul).

En fait, j'aimerai ajouter une petite nuance:
la certification étendue peut être dépassée par le cas suivant:
Certificat (signé par une CA ou pas) vérifié à la main et ajouté consciament comme exception permanente. C'est ce que j'ai longtemps fait pour mon serveur perso (avant de me faire un certif de CA que j'ajoute manuellement dans mes navigos/clients divers)

Dans le cas du HTTPs sans certification si le certificat n'est pas vérifié minutieusement, la sécuritée apportée est limitée puisqu'il apporte à peu de choses près la même chose que http tout court. Les attaques Man In The Middle étant étonnement faciles à réaliser, même avec du matériel grand public. À la nuance, bien sur qu'il n'est pas possible d'espionner sans complicité d'un ISP une fois la box passée coté client ou le cable du serveur. (mais avec de bonnes chances de réussites avec un accès au réseau cablé ou Wifi en clair ou WEP [1] )

[1] J'aurais tendance à dire que comme tout passe systématiquement par la box avec WPA, un autre ordinateur du réseau ne pourra pas la battre en répondant à la requete DHCP de connection ou à une requête DNS

Elzen · Le 04/09/2014, à 16:56

@pierrecastor : je suis tout à fait d'accord.

@ssdg : c'est pour ça que je parlais de trois « paliers », c'est-à-dire de différences logiques et structurelles générales, chacune pouvant avoir plusieurs degrés de fiabilités. Le véritable niveau de sécurité dépend des choix structurels, mais également de la façon dont on met en place ces choix.

Cependant, non, je ne pense pas que du HTTPS sans certification soit plus ou moins équivalent à du HTTP. Dans le premier cas, il est nécessaire de mettre en place une réelle tentative d'usurpation d'identité pour parvenir à ses fins, tandis que dans le second, il « suffit » d'être sur le passage de l'information.
Pour risquer une comparaison pas forcément géniale, le HTTP, c'est laisser son vélo simplement posé contre un mur (n'importe quel passant peut repartir avec), le HTTPS sans certification, c'est laisser son vélo attaché avec un bon antivol (un éventuel voleur doit se munir d'outils spécialisés, se trimballer avec une pince dans la poche ne suffit pas), et le HTTPS avec certification, c'est laisser son vélo sous la surveillance d'un vigile (en espérant que le vigile ne décide pas de partir lui-même avec le vélo).

Compte anonymisé · Le 04/09/2014, à 20:06

Si vous avez des liens parlant du cryptage https, je suis preneur.
Enfin la partie ssl.
Je suis tombé sur celui-ci http://www.sebsauvage.net/comprendre/ssl/
Vous semble t-il bon ?

Dernière modification par ignace72 (Le 04/09/2014, à 20:12)

Bob49 · Le 04/09/2014, à 20:50

Salut

@ ignace72, il y à aucun message d'alerte sur ton site !

Pour les messages de sécurité (certificat auto-signé, émetteur inconnu, émetteur non-fiable), il y à bien une possibilité de passer outre cet avertissement ! Ce qui n'affichera plus le message.

L'extension Skip Cert Error est utile pour faire des exceptions temporaires (apparemment, je l'ai pas testé), là ou Firefox ferait l’exception définitive ou presque, puisqu'il suffit de supprimer les préférences de sites pour supprimer les exceptions (ce qui est plutôt à éviter...).

D'ailleurs malgré que je surfes intensivement, je croises vraiment rarement ce genre de messages ! et si je connais pas le site, je fais l'impasse et vais voir ailleurs, ce n'est pas les sites qui manquent sur le web...

Compte anonymisé · Le 04/09/2014, à 21:01

Peut-être que firefox 32 à résolu le soucis en ayant une bd plus à jour.
Si je comprends bien Bob49 :
tu navigues sur les sites certifié connu de ton navigateur et sur les site non sécurisé mais jamais sur ceux autosigné.

Bob49 · Le 04/09/2014, à 21:29

ignace72 a écrit :

Peut-être que firefox 32 à résolu le soucis en ayant une bd plus à jour.
Si je comprends bien Bob49 :
tu navigues sur les sites certifié connu de ton navigateur et sur les site non sécurisé mais jamais sur ceux autosigné.

Bah je surfes sur tous les sites qui m'intéresse et si message d'alerte, je passe... pourquoi je m'arrêterais sur un site que je connais pas et dont j'ai un message d'alerte ?!
Mais comme j'ai dis dans mon précédent message, je rencontre ce genre de message parfois, mais très peu.
Et comme je l'ai dis précédemment, au cas où l'on veut absolument surfer sur un site... il suffit d'accepter le site en exception pour être tranquille.

En ce moment, je suis avec la Nightly (Fx 35)... mais la mise à jour du système de vérification des certificats dans Firefox ne dépend pas seulement de lui-même.

Même sur le forum de Firefox, dont je suis un bénévole des plus anciens maintenant, on nous parle très peu des messages du aux auto-signé (la dernière fois remonte apparemment à 2011), mais plutôt d'autres erreurs de certificats...

Il va y avoir un renforcement à partir de Firefox 33 : http://www.lemondeinformatique.fr/actua … 58514.html

Dernière modification par Bob49 (Le 04/09/2014, à 21:44)

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 04/09/2014, à 12:02

Même pas peur, les alertes des navigateurs

#2 Le 04/09/2014, à 12:21

Re : Même pas peur, les alertes des navigateurs

#3 Le 04/09/2014, à 12:56

Re : Même pas peur, les alertes des navigateurs

#4 Le 04/09/2014, à 13:03

Re : Même pas peur, les alertes des navigateurs

#5 Le 04/09/2014, à 13:11

Re : Même pas peur, les alertes des navigateurs

#6 Le 04/09/2014, à 13:16

Re : Même pas peur, les alertes des navigateurs

#7 Le 04/09/2014, à 13:27

Re : Même pas peur, les alertes des navigateurs

#8 Le 04/09/2014, à 13:34

Re : Même pas peur, les alertes des navigateurs

#9 Le 04/09/2014, à 14:01

Re : Même pas peur, les alertes des navigateurs

#10 Le 04/09/2014, à 14:22

Re : Même pas peur, les alertes des navigateurs

#11 Le 04/09/2014, à 14:29

Re : Même pas peur, les alertes des navigateurs

#12 Le 04/09/2014, à 14:36

Re : Même pas peur, les alertes des navigateurs

#13 Le 04/09/2014, à 14:39

Re : Même pas peur, les alertes des navigateurs

#14 Le 04/09/2014, à 14:44

Re : Même pas peur, les alertes des navigateurs

#15 Le 04/09/2014, à 14:54

Re : Même pas peur, les alertes des navigateurs

#16 Le 04/09/2014, à 14:55

Re : Même pas peur, les alertes des navigateurs

#17 Le 04/09/2014, à 15:04

Re : Même pas peur, les alertes des navigateurs

#18 Le 04/09/2014, à 15:06

Re : Même pas peur, les alertes des navigateurs

#19 Le 04/09/2014, à 15:31

Re : Même pas peur, les alertes des navigateurs

#20 Le 04/09/2014, à 15:48

Re : Même pas peur, les alertes des navigateurs

#21 Le 04/09/2014, à 16:56

Re : Même pas peur, les alertes des navigateurs

#22 Le 04/09/2014, à 20:06

Re : Même pas peur, les alertes des navigateurs

#23 Le 04/09/2014, à 20:50

Re : Même pas peur, les alertes des navigateurs

#24 Le 04/09/2014, à 21:01

Re : Même pas peur, les alertes des navigateurs

#25 Le 04/09/2014, à 21:29

Re : Même pas peur, les alertes des navigateurs

Pied de page des forums