Le vrai problème de SSL c’est la gestion de certificat.
Par exemple, le site
ttps ://www.internet-signalement.gouv.fr
présente un certificat (produit par « certinomis ») qui n’est pas reconnu par Apple, alors qu’il l’est par Firefox. Safari et Chrome me menacent :
(""ce certificat a été signé par un émetteur non approuvé")
Moi qui voulait dénoncer ma voisine...
Comme expliqué par Stéphane Bortzmeyer , une autorité de certification peut certifier n’importe quel certificat, y compris ceux utilisés pour les attaques, c’est l’immense défaut de X509.
►http://www.bortzmeyer.org/6698.html
Il faut donc vérifier les autorités de certifications que son browser inclut.
Ce « certinomis » par exemple, me parait suspect. Merci à Apple de l’avoir exclu, la DGSE ne peut plus (avec ça) se mettre au milieu de mon gmail. Firefox serait ainsi trop laxiste.
Au passage, par méfiance j’exclue « comodo » (mis en cause l’année dernière)
►http://www.comodo.com/Comodo-Fraud-Incident-2011-03-23.html
et les autorités turques, ou celles qui me semblent chinoises ou bulgares. Bien sur il serait plus sur de virer aussi les autorités américaines, mais bon.