Re: [APRIL] firefox3 parano?

[Stéphane Adenot <sadenot AT april.org>]

Guillaume Ludwig a écrit :
> Le Thursday 10 July 2008 09:49:53 Guillaume ROMAGNY - CAcert support, vous 
> avez écrit :
> > Oui Firefox3 est plus rigoureux. C'est bien.
>
> Bien.. pas forcément. De mon point de vue, la manière dont c'est fait est 
> erreur immense de la part de mozilla.
>
> J'ai fait le test auprès de tous mes proches, de les envoyer avec Firefox sur 
> un site avec certificat autosigné ou avec CAcert, sans leur dire que c'était 
> un test et qu'il fallait arriver au bout. Résultat : tous, je dis bien TOUS 
> ont abandonné en me disant que le site était en panne.

En panne... Quelque part c'est un peu vrai. Dans l'utilisation de TLS,
l'étape de validation du certificat est *aussi* importante que le
chiffrement lui-même. Les administrateurs de sites qui décident
d'utiliser TLS ne devraient pas prendre trop à la légère la validité de
leurs certificats.

Je trouve que le choix de ne pas ouvrir la session quand on ne sait pas
ce qu'il faut faire pour ce type de problème n'est pas forcément le
mauvais choix...

Je trouve aussi le message de Firefox assez explicite sur la nature du
problème. Beaucoup plus que ce que j'ai pu voir sur d'autres navigateurs
tournant sur un SE "grand public" très répandu : "Une chaîne de
certificat traitée se termine par un certificat racine qui n'est pas
approuvé par le fournisseur d'approbation - Voulez-vous continuer ?" (SIC)!

Le test ci-dessus montre donc que l'on arrive peut-être là à la limite
de ce que l'on peut demander à un "desktop user".

Cordialement.


NB: A propos de CACert, la procédure d'inclusion du certificat racine
dans Firefox est en cours : http://wiki.cacert.org/wiki/InclusionStatus