Une petite interview de Michel Serres qui nous parle d'autorité à l'heure des réseaux.
Les puissants supposés qui s'adressaient à des imbéciles supposés sont en voie d'extinction. Une nouvelle démocratie du savoir est en marche. Désormais, la seule autorité qui peut s'imposer est fondée sur la compétence. Si vous n'êtes pas investi de cette autorité-là, ce n'est pas la peine de devenir député, professeur, président, voire parent. Si vous n'êtes pas décidé à augmenter autrui, laissez toute autorité au vestiaire. L'autorité doit être une forme de fraternité qui vise à tous nous augmenter. Si ce n'est pas ça la démocratie, je ne connais plus le sens des mots !
C'est un court résumé de ce qu'il dit dans son livre "Petite Poucette" qu'il faut absolument lire, si ce n'est déjà fait. De bonnes paroles, réconfortantes, par les temps qui courent.
Je découvre qu'avec DNSSEC, le champ TLSA permet de vérifier le certificat émis par le serveur, à la place de, ou en complément du / des CA.
C'est aussi utile par exemple, pour vérifier le CA signataire (à la place du certificat du serveur) afin de limiter le risque qu'une CA piratée ou malveillante forge un fake-certificat.
EDIT : on peut aussi utiliser ce champ pour accorder sa confiance à une autorité qui ne serait pas "de confiance" dans le root du logiciel client. Encore faut-il que ce dernier requête en DNSSEC et implémente ces méthodes (assez récentes)
Une grande avancée je trouve, et un bon compromis CA / non-CA.
Pratique !
Hmmmm, moi qui doit renouveler mes certificats très prochainement, je vais me pencher sur Let's Encrypt. Mais à l'heure actuelle, je ne sais pas si c'est supporté par tous les navigateurs (enfin, les plus gros quoi). Let's see ;)
Tiens tiens…
Étrange comportement de notre ami Firefox : j'ai une page ouverte, en SSL, et qui fait tourner de l'AJAX. Je change le certificat du serveur et le redémarre. La page toujours ouverte, et qui continue de recevoir du contenu m'indique toujours l'ancien certificat. Tant que je ne recharge pas la page elle ne le fait pas.
Mais alors, que se passe-t-il si dans ce type d'échange, un "advanced firewall" quelconque s'amuse à changer de certificat ? Hmm… Question con sans doute.
M'enfin, j'suis pas super rassuré par ce comportement.
C'est bizarre : de temps en temps j'ai besoin de réinstaller le root de CAcert (autorité de certification indépendante et en WOT, qui certifie notamment LinuxFR)
Peut-être les mises-à-jour Firefox ?
Désagréable en tout cas…