SSL / TLS n'est pas sûr !

à cause de leurs autorités de certification de confiance
Les CA de confiance sont soit des entreprises privées, soit des gouvernements, elles sont peu nombreuses

Lorsque vous vous connectez à un site (lors du handshake), le certificat renvoyé pourrait très bien être intercepté et modifié par une attaque MITM, c'est par exemple le cas si le serveur DNS est menteur et qu'il vous renvoi vers une autre IP (donc un autre serveur) avec un autre certificat

Cependant, les autorités de confiance pour les certificats web (selon la norme X.509) vérifient avant d'attribuer leurs certificats qu'ils sont bien donnés au propriétaire du site, et lui demandent donc d'ajouter par exemple un fichier sur le serveur, éditer la zone DNS...

On comprend dès lors l'intérêt de pouvoir émettre des faux certificats reconnus par défaut par les navigateurs (ce qui est appelé autorité de confiance), avec la capacité d'outrepasser cette vérification, pour par exemple émettre un certificat TLS au nom de wikipedia.org ou google.fr alors que l'on n'est pas propriétaire de ces sites

Donc les gouvernements, s'ils le veulent, peuvent intercepter votre connexion TLS en vous redirigeant vers un faux serveur (qui peut lui-même imiter le site cible à la lettre si ce même serveur ira rediriger vos requêtes auprès du vrai site cible pour vous les renvoyer sur le faux serveur)

Vous avez ici la liste de gouvernements possédant des CA de confiance, dont la France https://wiki.mozilla.org/CA:GovernmentCAs

Et une répartition des gouvernements possédant des CA à partir du Microsoft Root Programhttps://image.noelshack.com/fichiers/2021/11/3/1615981136-govtownedcas.png

Cela signifie que ces autorités de certification peuvent signer un certificat valide pour n'importe quel site et qu'un ordinateur Windows lui fera confiance, même s'il a été initialement signé par LetsEncrypt, Comodo ou bien encore Gandi.

Pour cette raison, TLS ne peut pas être sûr, cependant, vous pourriez enregistrer le hash de vos certificats, s'il ne correspond pas, cela veut dire que le certificat a changé entre-temps, et que vous ne parlez peut-être pas à la bonne personne (le bon serveur).

Autre vulnérabilité qui devrait vous amener à réfléchir sur la sécurité de TLS : la sécurité des clés privées
Certaines CA vous laissent générer leur certificat sur leur propre site par exemple, mais ils peuvent très bien garder une copie de la clé privée et la restituer à une autorité gouvernementale
Pourtant, il y a une solution, laisser l'utilisateur générer sa propre clé privée sur son propre serveur (sans qu'elle soit envoyée à la CA), faire la vérification du propriétaire du nom de domaine sur le serveur de la CA, ce dernier renvoyant une "clé temporaire" d'autorisation permettant à l'utilisateur de générer ensuite sa propre clé privée, sans qu'elle ne soit renvoyée à la CA

Il faudrait une CA P2P

Merci pour ces informations extrêmement précieuses. Tu devrais faire une thèse sur le sujet.

Bravo, Antoine. Continue comme ça, tu deviendras un grand.

Le 17 mars 2021 à 19:14:39 AntoineForum37 a écrit :

Le 17 mars 2021 à 19:13:24 pom_xml a écrit :
Merci pour ces informations extrêmement précieuses. Tu devrais faire une thèse sur le sujet.

Bravo, Antoine. Continue comme ça, tu deviendras un grand.

C'était ironique ou pas ?

à ton avis ?

c'est assez pathétique les mecs comme toi qui découvrent des trucs basiques et qui se sentent obligés d'afficher leur savoir comme si c'était une découverte pour les autres.

Le 17 mars 2021 à 19:16:02 pom_xml a écrit :

Le 17 mars 2021 à 19:14:39 AntoineForum37 a écrit :

Le 17 mars 2021 à 19:13:24 pom_xml a écrit :
Merci pour ces informations extrêmement précieuses. Tu devrais faire une thèse sur le sujet.

Bravo, Antoine. Continue comme ça, tu deviendras un grand.

C'était ironique ou pas ?

à ton avis ?

c'est assez pathétique les mecs comme toi qui découvrent des trucs basiques et qui se sentent obligés d'afficher leur savoir comme si c'était une découverte pour les autres.

D'accord le PNJ, pourtant beaucoup disent "GNN GNN le FAI ne peut pas savoir ce que je fais car j'ai HTTPS" (sans compter que les requêtes DNS ne sont pas chiffrées non plus)

Le 17 mars 2021 à 19:16:19 AntoineForum37 a écrit :

Le 17 mars 2021 à 19:16:02 pom_xml a écrit :

Le 17 mars 2021 à 19:14:39 AntoineForum37 a écrit :

Le 17 mars 2021 à 19:13:24 pom_xml a écrit :
Merci pour ces informations extrêmement précieuses. Tu devrais faire une thèse sur le sujet.

Bravo, Antoine. Continue comme ça, tu deviendras un grand.

C'était ironique ou pas ?

à ton avis ?

c'est assez pathétique les mecs comme toi qui découvrent des trucs basiques et qui se sentent obligés d'afficher leur savoir comme si c'était une découverte pour les autres.

D'accord le PNJ

gros branleur

Ok le bègue

up

SSL/TLS est “sur” en tant que technologie à partir du moment où les algo de chiffrements utilisés lors de l’échange de clefs (et à supposer qu’aucun leak du ca a été effectué) n’ont pas été cassé.
Dire qu’un CA peut se faire passer pour un autre CA pour spoof un site tiers, c’est independent de la technologie utilisée. D’ailleurs si cela te fait tant peur, tu peux toujours virer le ÇA de ton gouvernement de ton ca -bundle

Le 17 mars 2021 à 19:18:32 arkalys a écrit :
SSL/TLS est “sur” en tant que technologie à partir du moment où les algo de chiffrements utilisés lors de l’échange de clefs (et à supposer qu’aucun leak du ca a été effectué) n’ont pas été cassé.
Dire qu’un CA peut se faire passer pour un autre CA pour spoof un site tiers, c’est independent de la technologie utilisée. D’ailleurs si cela te fait tant peur, tu peux toujours virer le ÇA de ton gouvernement de ton ca -bundle

Les autorités de CA lambda peuvent aussi être corrompues, d'où l'intérêt de faire du P2P et d'en plus stocker des hash des certificats sur ce système, il suffira ensuite de l'interroger

C’est pas la question, c’est le titre de ton sujet qui est trompeur. SSL/TLS est “sûr” (jusqu’à preuve du contraire - ie les révocations de certificats utilisant un algo de chiffrement des clefs obseletes). Si les acteurs de la technologie font de la merde, c’est pas la faute de la technologie elle même.