Carnet de notes

Catégorie : Sécurité informatique

Les petits utilitaires : 1– Le gestionnaire de mots de passe
Il y a toute une série de petits utilitaires indispensables avec lesquels je ne suis pas satisfait. Je me dis qu’en mettant ici mon usage, peut-être que ça ouvrira des portes.

Bref, j’aimerais un logiciel pour gérer mes mots de passe et les stocker de façon sécurisée.
- Je veux y avoir accès aussi bien sur Mac, que sur Linux et sur mon mobile Android, y compris hors-ligne. Ce serait top s’il y avait un client web mais ce n’est pas indispensable.
- Le stockage et l’accès doivent être sécurisées. Rien ne doit être accessible sans mot de passe maître, et ce dernier ne doit être stocké nul part.
- L’app mobile doit pouvoir avoir un verrouillage soft (via un pin, un schéma ou une empreinte digitale) quand le téléphone passe en veille (ou à défaut quand je bascule sur une autre app).
- Tous les clients (app mobile, desktop, navigateur) doivent de reverrouiller au bout d’un certain temps d’activité et nécessiter la saisie du mot de passe maître pour être réouverts.
- Je dois avoir une extension du navigateur pour auto-compléter les formulaires de login, autant sur desktop que sur mobile. Idéalement l’auto-complétion n’injecte pas plein de trucs automatiquement dans chaque page web et n’agit que sur ma demande via un bouton dans la barre d’outil.
- La même extension du navigateur doit savoir créer une entrée dans les mots de passe enregistrés à partir d’un formulaire de login sur une page web.
- Il existe un moyen simple et rapide de faire une recherche dans la base de mots de passe.
- L’outil embarque un générateur de mots de passe.
- Ça serait top de pouvoir partager des mots de passe, en lecture et/ou en écriture, à une personne ou à un groupe.
Parce que je suis geek :
- Il existe un accès en ligne de commande ou un moyen de bidouiller l’ensemble
- Il est possible de sauvegarder facilement et automatiquement ma base de mots de passe quelque part (que tout ne repose pas sur un prestataire)
- Le fonctionnement (API, chiffrement) est documenté, idéalement open source
- Ça serait top que ça gère aussi directement l’agent pour mes clefs SSH
Dashlane

J’ai exploré par mal de choses. Pour l’instant Dashlane coche la plupart des cases mais l’extension navigateur me gêne. Il s’agit d’une coquille vide qui s’occupe des auto-completion et qui interagit avec l’application Dashlane native sur le système.

Je trouvais le système assez smart mais en réalité non seulement je ne vois pas ce que ça m’apporte mais je vois même en quoi ça peut diminuer légèrement la sécurité.

Dans tous les cas, l’injection de scripts dans toutes les pages à formulaire est franchement gênante. Firefox me signalait régulièrement des ralentissement dû à Dashlane mais en plus l’UX de gestion de l’auto-completion me gêne plus souvent qu’elle me facilite la vie, surtout sur un petit écran mobile (sans compter que sur mobile ça m’oblige à utiliser Chrome plutôt que Firefox).

Enfin, ça veut dire faire confiance. J’ai confiance dans la crypto de base mais quand j’ai posé des questions sur les interactions entre le navigateur et l’application native j’ai eu des demies réponses sans détails techniques. J’ai l’impression que cette partie de l’architecture repose plutôt sur l’obscurité. Non seulement ça me gêne, mais je doute encore plus de voir arriver autre chose que ce que l’équipe a prévu et a le temps de faire.

Bref, beaucoup de bons points mais j’ai peur que ça ne coche jamais les cases restantes.

Enpass

Ça couvre beaucoup moins de choses mais j’aime bien l’idée de fichiers qu’on peut synchroniser sans serveur via un disque en ligne quelconque genre Dropbox ou Google Drive. Ça me permet aussi de gérer les sauvegardes tout en me rassurant sur la pérennité.

Passbolt

J’en ai encore moins de cases cochées mais là j’ai de l’opensource, donc quitte à bidouiller ça peut être que ça peut faire une base de départ ?

Là où je suis étonné c’est de ne pas voir plus de projets open source que ça, et pas plus aboutis. Le cœur logiciel est pourtant assez facilement accessible pour deux ou trois dev motivés et le besoin est général au moins au niveau des geeks.
12 septembre 2017
J’ai un problème (sécurité) avec Dashlane – Vous m’aidez ?

Je vous ai déjà parlé de Dashlane. Franchement c’est le bonheur.

Puis je suis tombé aujourd’hui sur un échange à propos de faiblesses dans le code d’auto-completion de Lastpass. Et là, même si le problème de Lastpass ne se retrouve pas sur Dashlane j’ai eu un malaise… « Merde, mes extensions Chrome et Firefox arrivent à tirer des mots de passe de Dashlane un peu trop facilement »

* * *

Dashlane a une app native très classique. C’est elle qui a les mots de passe (chiffrés), que je déverrouille avec mon mot de passe maître. À partir de la quelle je peux copier les identifiants et mots de passe.

De cette app native, j’ai pu installer les extensions Chrome et Firefox. Je suppose que ça construit une extension qui m’est spécifique, avec des jetons d’accès qui sont différents chez chacun.

Ces extensions peuvent librement ajouter et récupérer les mots de passe depuis l’app native. Rien à faire, rien à déverrouiller. Pour peu que l’app native soit ouverte, ça fonctionne.

* * *

Qu’est-ce qui m’empêche de créer un script ou une application qui ouvre le profil Firefox sur le disque, y trouve les fichiers de l’extension Dashlane, y lit les jetons d’accès et s’adresse à l’app native Dashlane en cours d’exécution pour en extraire tous les mots de passe ?

Ok, il faudrait que mon script ait accès à mon disque dur, ce qui est en soi un problème, mais si j’utilise Dashlane ce n’est pas pour que n’importe quelle application qui a accès à mon disque puisse accéder à mes mots de passe en clair aussi facilement.

En réalité c’est probablement plus complexe. Un petit tour dans les fichiers javascript de Dashlane me fait dire qu’il y a du chiffrement en jeu et qu’il faudrait quelques jours de boulot pour réutiliser le même canal de communication. Rien d’impossible cependant.

En fait je peux même probablement récupérer tout le fichier Javascript et l’utiliser en tapant directement dans l’API interne plutôt que de mimer ce qu’elle sait faire.

Tout au plus il y a peut-être un système qui identifie le nom de l’application source qui s’adresse à l’app native Dashlane. Je doute que ça aussi soit incontournable.

* * *

Bref, c’est moi où j’ai un gros problème avec Dashlane ? Si un techos de Dashlane passe par là, sans forcément révéler tous les mécanismes dans le détail, j’aimerais bien savoir pourquoi je peux faire confiance au système mis en place.

23 mars 2017
Logiciel de mot de passe

Ça faisait longtemps que je voulais passer à un gestionnaire de mot de passe un peu évolué.

J’ai tenté par deux fois de me mettre à Lastpass. Je ne saurais dire pourquoi mais les deux fois j’ai fini par peu l’utiliser, le laisser dans un coin et revenir à mes habitudes.

Depuis peu de temps j’ai tenté avec Dashlane. Il n’y a pas de client Linux, l’interface web et en lecture seule mais son gros avantage est de pouvoir fonctionner totalement offline. Mieux : C’est une entreprise française. Même si le chiffrement fait que mes données sont théoriquement illisibles par le prestataire, j’ai un peu plus confiance que dans une société US.

Peut-être est-ce l’ergonomie mais cette fois la sauce a pris. J’apprécie le login automatique sur le navigateur. J’aime le fonctionnement de l’app mobile qui se contente de l’empreinte digitale si l’app a déjà été déverrouillée récemment par le mot de passe maître.

Pour le même prix il m’a signalé les sites où mon mot de passe était trop faible ou obsolète (genre le mot de passe Yahoo qui n’a pas changé depuis les failles) et a su le changer d’un simple bouton sans me demander d’aller faire les manipulations moi-même sur les différents sites.

Il me reste la fonctionnalité de partage que je n’ai pas testée mais j’ai bon espoir que ça résolve nos difficultés de comptes commun avec ma femme.

Enfin la bonne surprise c’est le mode urgence : Permettre à un tiers identifié de récupérer ma base de mots de passe si je ne décline pas sa requête après un certain nombre de jours. Quelque part ça peut faire office de testament numérique, même si ça n’est pas parfait.

Depuis on m’a pointé vers le récent Enpass, qui ne demande que 10 € pour l’achat à vie de l’app mobile (contre 40 € par an pour le premium Dashlane). Il a le support Linux, le offline, sa synchronisation se fait par des prestataires de cloud habituels, mais il n’y a pour l’instant pas de partage possible. Ça vaut peut-être le coup de commencer par Enpass si vous n’avez pas besoin de cette dernière fonctionnalité.

11 février 2017
Empreinte digitale et sécurité

Nouveau téléphone avec un capteur d’empreinte digitale. Il n’y a pas à dire, c’est super pratique et le compromis de sécurité est plutôt bien adapté au cas d’usage.

Compromis ? C’est évident pour les geeks sécurité alors je m’adresse aux autres. Tout est histoire de compromis entre la facilité d’utilisation et le niveau de sécurité recherché.

L’empreinte digitale est facile à utiliser mais assure un assez mauvais niveau de sécurité.

Security – xkcd 538

Donc, qu’est prêt à faire celui qui veut accéder à vos données ?

Si vous ne vous cachez pas sérieusement à chaque fois que vous déverrouillez votre téléphone, le code PIN ou le schéma à la Android ne sécurisent que contre le vol à l’arrachée, quand le voleur ne vous connait pas et ne peut rien obtenir de vous.

Si votre voleur est prêt à fouiller votre téléphone sans votre accord, il est certainement prêt à loucher par dessus votre épaule pour voir votre PIN ou votre schéma quand vous le tracez. Pour un schéma il peut même parfois se contenter des traces de doigts sur l’écran pour peu que vous ayez oublié de les effacer.

C’est *là* que l’empreinte digitale est intéressante. Elle est est simple à utiliser mais ne peut pas être reproduite sans un minimum d’efforts.

* * *

Si par contre votre attaquant est prêt à être… méchant, alors l’empreinte digitale est la pire des solutions.

Le plus simple : Même un gringalet peut vous prendre par surprise et retourner votre poignet dans votre dos pour vous faire déverrouiller le téléphone par la contrainte.

Le plus discret : Récupérer une de vos empreintes quelque part où vous la laissez – c’est à dire partout, tout au long de la journée – et créer une fausse empreinte propre à leurrer le capteur permissif du téléphone. N’importe qui en est capable avec assez de volonté.

Contre quelqu’un prêt à faire un minimum d’efforts il ne reste qu’un mot de passe ou un schéma suffisamment complexe que vous gardez confidentiel. Rien ne battra même un bête code PIN si l’appareil limite le nombre de tentatives.

Le problème c’est que tourner le dos à vos proches à chaque déverrouillage de téléphone puis s’assurer de ne pas laisser de traces sur l’écran, ce n’est pas neutre au jour le jour. Bien entendu, si vous allez dans cette direction, il faut que le disque du téléphone soit chiffré, que le téléphone se verrouille immédiatement quand vous le laissez sur une table, et que l’éventuel schéma à tracer soit très complexe. Sinon autant revenir à l’empreinte digitale.

8 février 2017
Que se passe-t-il le jour où je ne suis plus là ?

Je peux passer sous un bus et me retrouver soit sur un lit d’hôpital soit dans une boite en chêne. Que se passe-t-il le jour où je ne suis plus là ?

Les données informatiques ne sont pas forcément les premières choses auxquelles mes proches penseront mais j’ai la désagréable habitude de chiffrer les disques et avoir de vrais mots de passe. Pire : je suis l’informaticien de la maison et donc le seul à détenir certaines clefs.

Photos, documents, tout ceci risque d’être perdu si le NAS arrête de fonctionner. Les fichiers qui peuvent trainer sur un Google Drive ou un Dropbox ont eux un compte à rebours. Il y a des vraies données qu’il faut faire vivre plus longtemps que moi.

Livres, textes, codes sources, qu’est-ce que ceux qui restent vont faire de ça ? Sauront-ils même les identifier et quelles sont les possibilités ?

Pour le reste – blog, réseaux sociaux, noms de domaine – je ne sais pas bien quel sens ça a mais je n’ai pas envie de laisser un parcours du combattant pour que mes survivants les éteignent ou les archivent s’ils le souhaitent.

* * *

J’ai beaucoup de questions, peu de réponses. Je peux faire un document qui explique des choses. Le plus compliqué va être qu’il survive et puisse être trouvé facilement. Le papier peut brûler s’il y a vraiment un accident grave, plus probablement il sera perdu avant 20 ans. L’informatique n’est guère mieux : j’ai des sauvegardes mais qui saura y avoir accès sans moi ? qui saura les exploiter et retrouver l’information ?

Même avec ce document, est-ce suffisant pour qu’un non-informaticien se débrouille ? Je n’ai de toutes façons pas envie que ma famille fasse de l’archéologie informatique.

Aujourd’hui je demande à deux proches en qui j’ai toute confiance s’ils peuvent prendre cette lourde charge : transmettre et porter assistance sur ces questions le jour où je ne le pourrai pas. Je ne sais pas comment ça tiendra 50 ans, quelle forme ça pourra prendre.

* * *

Il restera de toutes façons le point central : les clefs, les mots de passe, les identifiants. Je ne peux pas laisser un document avec tout ça, ni sous forme de papier ni sous forme informatique, ni chez moi ni chez d’autres.

Il y a la question de sécurité et de confidentialité tant que je suis encore là, mais aussi que les mots de passe vivent. Comment mettrai-je à jour systématiquement ce document tout en gardant sa confidentialité et sans peser sur les deux proches qui accepteront d’être mes relais ?

On me propose des fichiers chiffrés à poser d’un côté et la clef ou le mot de passe à poser de l’autre. Je ne sais pas quelle pérennité j’ai côté humain. Je crains aussi la technique : Quel est le risque que le chiffrement soit cassé de mon vivant et que les données fuitent ? Quel est le risque que le chiffrement ne soit pas cassé mais que les technologies changent et deviennent difficile à exploiter à ce moment là ?

* * *

Plein de questions, et diablement l’envie de monter yet another side project pour créer ce qui n’existe pas : une plateforme et des outils pour s’occuper de tout cela, simplifier ce qui est déjà difficile humainement et qui ne doit pas être aussi difficile techniquement.

21 mars 2016
[Vidéo] Public key cryptography – Diffie-Hellman Key Exchange

J’ai déjà vu l’explication des peintures, mais là on va plus loin, et l’explication de Diffie-Hellman est juste excellente.

3 mars 2016
[Lecture] Most software already has a “golden key” backdoor: the system update

Réflexions à partir d’un article sur Ars Technica

Q: What does almost every piece of software with an update mechanism, including every popular operating system, have in common?

A: Secure golden keys, cryptographic single-points-of-failure which can be used to enable total system compromise via targeted malicious software updates.

Mine de rien, la plupart de nos appareils modernes ont un système de mise à jour, souvent automatique. Celui qui détient les clefs peut injecter ce qu’il veut, ou simplement attendre que vous le fassiez vous-même en croyant mettre à jour.

On parle de Google, Samsung, Apple, Nokia, Microsoft et les autres. Des gens parfois recommandables, toujours avec leurs propres intérêts.

On parle aussi des États qui, officiellement ou non, auraient pu avoir accès à ces clefs. Maintenant qu’on connait un peu PRISM et l’étendue des griffes USA, et l’envie de la plupart des pays de les imiter, par la force ou par la loi, ce n’est pas rien.

On parle ensuite de tous les individus qui ont pu avoir accès à ces clefs et les faire fuiter, volontairement ou non.

This problem exists in almost every update system in wide use today. Even my favorite operating system, Debian, has this problem. If you use Debian or a Debian derivative like Ubuntu, you can see how many single points of failure you have in your update authenticity mechanism with this command:

sudo apt-key list | grep pub | wc -l

For the computer I’m writing this on, the answer is nine. When I run the apt-get update command, anyone with any one of those nine keys who is sitting between me and any of the webservers I retrieve updates from could send me malicious software and I will run it as root.

Et si je fais relativement confiance à la PKI de Apple, Google et Microsoft, c’est bien moins vrai pour la plupart des individus isolés derrière les logiciels open source.

Personnellement mon Debian perso fait confiance à 14 clefs, certaines probablement mal sécurisées, d’autres partagées par plusieurs acteurs, et probablement toutes sans le niveau de sécurité d’un Apple face aux incursions des États.

La sécurité c’est définitivement trop compliqué pour le monde réel dès qu’il s’agit de se protéger contre les très gros acteurs.

Je ne suis même pas certain que ces très gros acteurs le puissent entre eux. La France utilise des postes sous Microsoft Windows pour l’armée. Même les postes sous Debian, à ma connaissance la France n’a pas son armée de développeur pour faire une revue de tout le code source et le compiler eux-même (et même là, on tombe sous le problème du compilateur qui a lui-même une porte dérobée qu’il reproduit dans ce qu’il compile, ça s’est déjà vu dans l’histoire). En cas de vrai conflit, nous sommes totalement à genoux.

2 mars 2016
Amazon’s customer service backdoor

Wow. Just wow. The attacker gave Amazon my fake details from a whois query, and got my real address and phone number in exchange. Now they had enough to bounce around a few services, even convincing my bank to issue them a new copy of my Credit Card.

— Amazon’s customer service backdoor

Rien de neuf, on a déjà vu des récits de comptes twitter piratés et de commandes VPC reroutées, voire de vraies usurpations d’identité. C’est désormais à chaque fois via de l’ingénierie sociale.

Les questions « secrètes » sont de la bonne blagues et un peu de culot accompagnés d’un téléphone permettent d’à peu près tout savoir via votre famille ou vos amis. Les supports techniques de vos différents prestataires ont tellement d’informations sur vous qu’ils sont des cibles privilégiées.

De fil en anguille, en récupérant un bout chez l’un, un autre bout chez l’autre, on peut remonter jusqu’à avoir quelque chose de fort.

Peu de solutions. Très peu de gens sont prêts à se faire éjecter de leurs services et de leurs données s’ils ont simplement changé d’adresse et oublié de la mettre à jour, ou perdu leur mot de passe de l’ancien compte email, etc. Les service de support client ne font que ce que tout le monde attend.

30 janvier 2016
Kazakhtelecom JSC notifies on introduction of National security certificate from 1 January 2016

By words of Nurlan Meirmanov, Managing director on innovations of Kazakhtelecom JSC, Internet users shall install national security certificate, which will be available through Kazakhtelecom JSC internet resources. « User shall enter the site www.telecom.kz and install this certificate following step by step installation instructions”- underlined N.Meirmanov.

— Telecom.kz (dépublié, voir la version en cache)

Première réaction : Oh la dictature !

Seconde réaction : Chez nous c’est déjà le cas. Notre gouvernement contrôle une autorité de confiance installée dans tous les gros navigateurs du marché. Pire : Ils l’ont déjà utilisée pour faire du man in the middle.

On peut se réconforter en se disant que l’intention n’a jamais été délictueuse, mais au final la capacité est là. Il y a déjà eu dérapage et vu le climat actuel, il n’y a pas vraiment lieu d’avoir beaucoup plus confiance que dans le Kazakhstan sur ce point là. Plus récemment, l’État français demande aussi accès aux codes sources et architectures des hébergeurs et des fournisseurs d’accès. On pourrait ajouter que nous sommes déjà un des leaders mondiaux sur les solutions commerciales de surveillance à l’échelle de pays.

Plutôt que de se moquer, nous devrions avoir honte de montrer l’exemple. Le Kazakhstan est juste en retard sur nous.

3 décembre 2015
TLS et vie privée

Pour répondre à David :

TLS does not provide privacy. What it does is disable anonymous access to ensure authority. It changes access patterns away from decentralized caching to more centralized authority control.
That is the opposite of privacy. […] TLS is NOT desirable for access to
public information, except in that it provides an ephemeral form of message integrity that is a weak replacement for content integrity.

Je suis convaincu que ces gens ont réfléchi à la question plus longtemps et plus sérieusement que moi, mais je ne peux m’empêcher de poser les questions :

Parler de vie privée c’est parler de confidentialité. Vis à vis de qui ? De même, à partir de quand parle-t-on d’anonymat ?

Considérer que TLS est inutile pour accéder à une information publique me semble très étrange. La confidentialité n’est pas dans le fait que cette information soit publique, mais à ce que je consulte ou ce que j’envoie dans le détail.

Savoir que j’accède à Facebook est une chose. Savoir quel profil j’utilise et ce que j’écris en est une autre, quand bien même les textes en questions sont ne sont pas d’accès restreint. Je ne souhaite pas forcément que l’université de mon fils puisse lire ce qu’il y écrit via le WIFI local.

Savoir que j’accède à Wikipedia est une chose. Savoir que les pages que j’y lis parlent de certains problèmes de sexualité en est une autre. Je ne souhaite pas forcément que mon employeur puisse savoir ce que j’y lis pendant ma pause de midi.

Savoir que je consulte la presse est une chose. Savoir quels sont les articles politiques que je lis et ce que je commente en est une autre. Suivant le pays où je suis, je ne souhaite pas faciliter une éventuelle analyse au niveau de mon fournisseur d’accès ou du gouvernement.

Bref, je suis conscient que l’implémentation actuelle des navigateurs peuvent en théorie faciliter le tracking à partir du serveur. Je ne suis pas certain que la technique soit mise en œuvre tellement d’autres méthodes plus simples sont efficaces. La confidentialité que ça m’apporte compense largement ce surcoût.

La démocratisation de TLS est pour moi une vraie bonne nouvelle.

I have no objection to the IESG proposal to provide information *also* via https. It would be better to provide content signatures and encourage mirroring

Je ne nie pas que ça puisse être intéressant, mais l’usage est pour moi totalement différent. En fait, à réfléchir, l’essentiel des cas où j’ai besoin de garantir l’intégrité du message sont ceux où j’ai besoin d’une authentification, donc où le chiffrement de TLS est aussi nécessaire.

Proposer HTTPS en alternative me semble aussi une fausse bonne idée. Sur mes deux derniers exemples, j’ai potentiellement non seulement besoin que le contenu de ma requête soit confidentielle, mais aussi que mon besoin de confidentialité le soit aussi. Que j’utilise d’un coup TLS me fera paraitre « louche », ce que justement j’aurais souhaité éviter. Je l’ai d’ailleurs vu récemment dans la presse lors de mises en accusation : le fait que les suspects aient utilisé des communications cryptées faisait partie des éléments à charge, même sans savoir ce qu’ils ont échangé. Dangereux, au mieux.

Plus pragmatique : Il serait facile de bloquer HTTPS pour la plupart des sites publics comme Wikipedia, Doctissimo, Twitter ou Le Monde, obligeant les gens à se rabattre sur HTTP. Même les geeks les plus au fait des problèmes ont tendance à accepter de dégrader la communication en clair quand le chiffrement ne passe pas. Rendre TLS optionnel reviendrait à le retirer là où justement il est le plus nécessaire.

Le fait que le web avance pas à pas vers un « TLS uniquement » est un gros pas en avant pour la confidentialité vis à vis de mon environnement direct.

TLS everywhere is great for large companies with a financial stake in Internet centralization. It is even better for those providing identity services and TLS-outsourcing via CDNs. It’s a shame that the IETF has been abused in this way to promote a campaign that will effectively end anonymous access, under the guise of promoting privacy.

Bref, il y a des choses à faire. Par exemple s’assurer de réduire l’identification possible du navigateur entre deux requêtes ? (le navigateur utilise-t-il le même certificat à chaque fois ? si c’est ça le problème, il y a certainement moyen de faire des rotations régulières, et de ne pas partager un même certificat entre différentes destinations).

Quant à mon anonymat, il est bien plus vidé de son sens à cause de mon IP qu’à cause du tracking : si j’ai vraiment besoin, je peux utiliser un navigateur ou un profil différent pour certaines activités, mais mon IP demande un effort plus important pour être changée.

L’autre question est de savoir auprès de qui est-ce que je cherche le plus à être anonyme, et ce que représente mon identité. Google saura probablement me relier à mon email. Mon FAI et mon employeur savent me relier à mon identité civile

Bref, travaillons à améliorer les problèmes de tracking. Ils ne me semblent cependant pas inhérents à la technologie TLS (me trompe-je ?). Ne jetons en tout cas pas le bébé avec l’eau du bain. Surtout si nous n’avons rien à la place.

Roy T. Fielding nous rappelle le principal danger de TLS et de « SSL partout » : la centralisation des autorités de certification. Et par extension du Web.

C’est un vrai problème, mais qui commence à être dépassé. Le nombre d’autorités de mon Firefox se rapproche des 200. Si on considère que ces autorités délèguent elles-mêmes à de multiples sous-autorités, qui parfois font elles aussi de même, on est loin d’une centralisation dérangeante pour la vie privée. En fait il y a tant de délégation que le principe même d’autorité de confiance devient assez théorique.

Il reste un problème de confiance (autorité) et un problème commercial. DANE et letsencrypt sont deux initiatives qui me font croire qu’on va laisser ça derrière nous à moyen (pour letsencrypt) ou long terme (pour DANE).

Un client qui sait ne pas réutiliser inutilement le même certificat, qui vérifie le serveur à l’aide de DANE les écueils de confidentialité suivants seront surtout dans SNI, DNS et IP.

20 juillet 2015