Je découvre qu'avec DNSSEC, le champ TLSA permet de vérifier le certificat émis par le serveur, à la place de, ou en complément du / des CA.
C'est aussi utile par exemple, pour vérifier le CA signataire (à la place du certificat du serveur) afin de limiter le risque qu'une CA piratée ou malveillante forge un fake-certificat.
EDIT : on peut aussi utiliser ce champ pour accorder sa confiance à une autorité qui ne serait pas "de confiance" dans le root du logiciel client. Encore faut-il que ce dernier requête en DNSSEC et implémente ces méthodes (assez récentes)
Une grande avancée je trouve, et un bon compromis CA / non-CA.
Pratique !
Oh, d'ailleurs je n'avais pas vu que CAcert se lançait pour être accréditer par les navigateurs, notamment Firefox !!
Ce serait génial : non seulement ça ferait des certificats SSL gratuits (allez donc voir le prix pour le moindre certif ailleurs : hors de prix) mais en plus leurs confiances seraient validées par un système de WOT, donc communautaire.
Voulait qui résoudrait en très grande partie le problème actuel des autorités de certification. JE DIS OUI !!!
C'est bizarre : de temps en temps j'ai besoin de réinstaller le root de CAcert (autorité de certification indépendante et en WOT, qui certifie notamment LinuxFR)
Peut-être les mises-à-jour Firefox ?
Désagréable en tout cas…
Un superbe texte qui raconte la rédaction du "papier bleu" par un médecin, soit le certificat de décès.
Ce texte m'a beaucoup touché, et je vous conseille très fortement de le lire.
Citation : « Nous transformons par la grâce de ce document, un fait biologique, la mort, en une réalité sociale, le décès. Ce papier est capital sans lui vous n’êtes pas mort, vous êtes un vivant, aux yeux de la loi. Sans ce précieux papier, votre vie continue, où du moins une certaine partie le peu. Ce papier est un arrêt de vie, étrange comme on peut dire "arrêt de mort", alors que finalement on arrête la vie »
Pour ceux qui ne l'auraient pas remarqué, j'ai récemment (suite au test de Shaarli en fait) changé l'adresse d'icelui afin de profiter d'un joli sous-domaine et m'amuser avec les virtual-host. C'est désormais http://foualier.gregory-thibault.com
Pensez à changer vos flux si vos agrégateurs n'ont pas déjà perçus le changement via les redirections permanentes Apache.
Également : vous pouvez y accéder en https également, mais comme j'ai décidé d'héberger sur OVH (serveurs mutualisés) il n'y a pas de certificat avec le bon nom. Donc une erreur. En même temps pour la consult, z'en avez pas vraiment besoin. Bande de paranos.