Quand une autorité de certification commence à utiliser sa position d'autorité pour déchiffrer les flux HTTPS de ses membres, c'est qu'il y a quelque chose de pourri au royaume de France.
C'est dommage que l'article n'aborde pas de solution permettant s'en sortir.
Typiquement les enregistrements TLSA dans le DNS permettent d'annoncer quelle CA est utilisé pour certifier, ce qui rendrait caduque ce système.
Pas de bol c'est jamais déployé et c'est pas implémenté côté client. Et faut aussi balancer ça via DNSSEC…
Quand une autorité de certification commence à utiliser sa position d'autorité pour déchiffrer les flux HTTPS de ses membres, c'est qu'il y a quelque chose de pourri au royaume de France.
C'est dommage que l'article n'aborde pas de solution permettant s'en sortir. Typiquement les enregistrements TLSA dans le DNS permettent d'annoncer quelle CA est utilisé pour certifier, ce qui rendrait caduque ce système. Pas de bol c'est jamais déployé et c'est pas implémenté côté client. Et faut aussi balancer ça via DNSSEC…