Christophe HENRY

Ce site ne comporte aucune information d’intérêt, sauf pour celui qui la cherche — Ĉi-retejo ne enhavas informon interesan, krom por iu kiu ĝin serĉas — This website doesn’t have any information of interest, except for who looks for it

Changer Firefox et les certificats HTTPS

icon 15/07/2014

Quelqu'un sait comment changer le comportement de Firefox pour les certificats HTTPS ? Visitant beaucoup de sites auto-signés, je voudrais m'éviter les messages systématiques et lourds sur la dangerosité de la connexion. C'est bien stupide, et je voudrais que ça change.

Firefox affiche un avertissement ennuyeux à passer lorsqu'on se connecte sur la première fois par un site auto-signé. Alors qu'il ne dit rien si on se connecte la première fois sur un site non signé. Or, dans les deux cas, l'authenticité du site n'est pas établie ! En plus, il est possible qu'une méchante autorité signe un certificat contrefait concernant un site signé déjà visité. Le navigateur acceptera silencieusement le nouveau certificat contrefait !

Voilà comment devrait se comporter Firefox.


Par défaut, les sites signés ou non ne provoquent aucun avertissement. Le chiffrement peut être indiqué avec l'icone habituelle, avec quelques variations pour indiquer le chiffrement utilisé ou non. Lors de la première présentation d'un certificat, rien n'est remonté à l'utilisateur. Ça marche, et c'est tout. C'est chiffré/signé, tant mieux. Sinon, tant pis.

Pour un site donné (ou un sous-domaine, etc), on peut indiquer l'obligation de passer par HTTPS et accepter le certificat fourni par le site.

Pour un site donné, on peut ignorer tout changement de certificat. Par exemple, les serveurs de Google changent souvent de certificat.

Pour un site donné, on peut fixer le certificat et faire afficher un avertissement, voire une interdiction, en cas de changement de certificat.

L'idée derrière tout ça, est de considérer HTTPS comme un service facultatif et invisible. Sauf, lorsque c'est vraiment important : recherche Google, site de banque, etc. bien déterminés et pour lesquels on veut effectivement la sécurité. On pourrait préciser que tous les certificats venant d'une autorité (ou d'un descendant) sont acceptés avec ou sans notification. Typiquement, en entreprise on signe les serveurs locaux avec une autorité locale. Dans ce cas, on est moins inquiet que sur le net.

Si quelqu'un a trouvé un truc, je lui en serais reconnaissant.

icon Tags de l'article :

3 commentaires

pseudocourage56ans - 15/07/2014 à 23:04:01

Ouf ! Enfin quelqu'un qui parle de cela sur ou via shaarli.fr.
Perso, j'enlève le « s » de « https » : ça marche souvent mais pas toujours.
On n'est pas tous des jeunes, j'ai 56 ans, et je voudrais quand même accéder à des shaarlis.
Merci donc pour ton coup de gueule, je resterai à l'écoute.
signé : pseudocourage56ans

@répondre #lien

Sbgodin - 15/07/2014 à 23:08:13

@chabotsi, merci \o/ Ça résout une partie du problème. L'extension Skip-cert-error évite le message d'avertissement. Du coup, l'attaque par l'homme du milieu marche d'autant mieux.

Il faudrait pouvoir surveiller spécifiquement certains sites en HTTPS, comme ceux des b(r)anques.

@répondre #lien

icon Flux RSS des commentaires de cet article