Certificate Patrol : Je jette l'éponge. Et Perspectives ?
lundi 23 septembre 2013 à 09:10 Sebsauvage, le 20/09/2013 à 22:13
TROP. C'EST TROP. Je jette l'éponge: Je supprime l'extension Certificate Patrol. C'est inutile.
Pourquoi ? Parce qu'il n'y a PAS UN SEUL ACTEUR DU WEB (Google, Twitter ou autre) qui soit FOUTU d'avoir ses certificats à jour sur les différentes machines de son CDN.
Du coup, voilà: Des alertes TOUT LE TEMPS.
On ne peut même pas cocher "Try checking authority only for this domain" puisque même l'autorité change. Ils me font chier.
Je suis donc obligé de couper complètement Certificate Patrol, réduisant ainsi ma sécurité. Fait chier.
(Pour ceux qui ne connaissent pas Certificate Patrol, voir ces articles:
http://sebsauvage.net/rhaa/index.php?2010/03/26/12/03/17-les-certificats-ssl-ne-suffisent-plus
http://sebsauvage.net/rhaa/index.php?2010/08/18/11/16/54-des-extensions-firefox-pour-controler-les-certificats-https
et http://sebsauvage.net/rhaa/index.php?2010/11/08/19/54/41-je-suis-content-d-utiliser-certpatrol )
(Permalink)
Famille Michon, le 23/09/2013 à 09:10
Pas certain que ce soit de l'incompétence. C'est juste que cela permet de correctement brouiller les pistes : on n'est plus méfiant lorsque le certificat change suite à une interception par la NSA (et aujourd'hui, on ne peut plus me traiter de parano).
Une alternative, pas essayée :
http://perspectives-project.org/
Le principe : des serveurs publics scrutent les certificats et stockent leurs empreintes, puis les mettent à disposition. Une extension de navigateur va vérifier si cette empreinte correspond ou pas.
C'est décentralisé : c'est bien, et mal. Tout le monde peut faire tourner un serveur "notary". Donc il faut bien choisir à qui on fait confiance.
(Permalink)
TROP. C'EST TROP. Je jette l'éponge: Je supprime l'extension Certificate Patrol. C'est inutile.
Pourquoi ? Parce qu'il n'y a PAS UN SEUL ACTEUR DU WEB (Google, Twitter ou autre) qui soit FOUTU d'avoir ses certificats à jour sur les différentes machines de son CDN.
Du coup, voilà: Des alertes TOUT LE TEMPS.
On ne peut même pas cocher "Try checking authority only for this domain" puisque même l'autorité change. Ils me font chier.
Je suis donc obligé de couper complètement Certificate Patrol, réduisant ainsi ma sécurité. Fait chier.
(Pour ceux qui ne connaissent pas Certificate Patrol, voir ces articles:
http://sebsauvage.net/rhaa/index.php?2010/03/26/12/03/17-les-certificats-ssl-ne-suffisent-plus
http://sebsauvage.net/rhaa/index.php?2010/08/18/11/16/54-des-extensions-firefox-pour-controler-les-certificats-https
et http://sebsauvage.net/rhaa/index.php?2010/11/08/19/54/41-je-suis-content-d-utiliser-certpatrol )
(Permalink)
Famille Michon, le 23/09/2013 à 09:10
Pas certain que ce soit de l'incompétence. C'est juste que cela permet de correctement brouiller les pistes : on n'est plus méfiant lorsque le certificat change suite à une interception par la NSA (et aujourd'hui, on ne peut plus me traiter de parano).
Une alternative, pas essayée :
http://perspectives-project.org/
Le principe : des serveurs publics scrutent les certificats et stockent leurs empreintes, puis les mettent à disposition. Une extension de navigateur va vérifier si cette empreinte correspond ou pas.
C'est décentralisé : c'est bien, et mal. Tout le monde peut faire tourner un serveur "notary". Donc il faut bien choisir à qui on fait confiance.
(Permalink)