Les certificats SSL ne suffisent plus
sebsauvage
Messages postés
32893
Date d'inscription
mercredi 29 août 2001
Statut
Modérateur
Dernière intervention
21 octobre 2019
-
26 mars 2010 à 13:42
Utilisateur anonyme - 27 mars 2010 à 15:44
Utilisateur anonyme - 27 mars 2010 à 15:44
A voir également:
- Les certificats SSL ne suffisent plus
- Le client et le serveur ne sont pas compatibles avec une version de protocole ou une méthode de chiffrement ssl commune. ✓ - Forum Réseaux sociaux
- Https //www.google.com/ gws_rd=ssl virus - Forum Virus
- Communication impossible via ssl ps4 ✓ - Forum Google Chrome
- Https://ad.doubleclick.net - Forum Samsung
- You are running composer with ssl/tls protection disabled ✓ - Forum Webmastering
2 réponses
teutates
Messages postés
19624
Date d'inscription
vendredi 28 décembre 2001
Statut
Modérateur
Dernière intervention
2 janvier 2020
3 586
26 mars 2010 à 22:16
26 mars 2010 à 22:16
Du coup, je viens de me rendre compte que j'utilise pour un certain site assez connu un certificat périmé depuis 2004 ! Si la date de péremption est passée, on va finir à l'hosto ? Docteur, qu'est ce qu'on risque dans ce cas ?!
Utilisateur anonyme
Modifié par fahd_zboot le 27/03/2010 à 13:28
Modifié par fahd_zboot le 27/03/2010 à 13:28
Bonjour,
Merci sebsauvage pour ces informations.
Mais d'après ce que j'ai compris, le problème qui se pose vraiment est au niveau de la confiance que nous donnons à ces autorités, mais en aucun cas la possibilité qu'un pirate (avec comme but de nous voler des informations confidentielles) ait en possession un certificat valide ?
Merci pour les éclaircissements.
????f????????? ; Appelez moi Fahd ;-)
Merci sebsauvage pour ces informations.
Mais d'après ce que j'ai compris, le problème qui se pose vraiment est au niveau de la confiance que nous donnons à ces autorités, mais en aucun cas la possibilité qu'un pirate (avec comme but de nous voler des informations confidentielles) ait en possession un certificat valide ?
Merci pour les éclaircissements.
????f????????? ; Appelez moi Fahd ;-)
sebsauvage
Messages postés
32893
Date d'inscription
mercredi 29 août 2001
Statut
Modérateur
Dernière intervention
21 octobre 2019
15 655
27 mars 2010 à 10:36
27 mars 2010 à 10:36
Effectivement, combiné à un détournement de trafic réseau (par exemple par DNS poisonning), la corruption d'un CA permettra de se faire passer pour le site d'une banque sans alerte SSL.
Cela permet de faire des attaques MITM (Man in the middle) sans lever d'alerte SSL.
Cela permet de faire des attaques MITM (Man in the middle) sans lever d'alerte SSL.
Utilisateur anonyme
>
sebsauvage
Messages postés
32893
Date d'inscription
mercredi 29 août 2001
Statut
Modérateur
Dernière intervention
21 octobre 2019
27 mars 2010 à 14:26
27 mars 2010 à 14:26
Je ne suis pas sûr de comprendre à 100%, mais comment les pirates pourront avoir un certificat SSL valide ?
sebsauvage
Messages postés
32893
Date d'inscription
mercredi 29 août 2001
Statut
Modérateur
Dernière intervention
21 octobre 2019
15 655
27 mars 2010 à 14:57
27 mars 2010 à 14:57
Tu créé un certificat qui ressemble à celui que tu veux imiter (mêmes infos), puis tu t'arrange pour le faire signer par une CA (social engineering, menaces, dessous de table, injonction judiciaire...).
Utilisateur anonyme
>
sebsauvage
Messages postés
32893
Date d'inscription
mercredi 29 août 2001
Statut
Modérateur
Dernière intervention
21 octobre 2019
27 mars 2010 à 15:44
27 mars 2010 à 15:44
Merci ;-)
27 mars 2010 à 10:38
Et même pour les certificats encore valides, les logiciels sont censés questionner régulièrement des serveurs de révocation.