Emmanuel et Arnaud discutent avec Tom Delmas d’HTTPS. Comment ça marche, quelles sont les faiblesses et les diverses protections. Mais aussi comment mettre en place concrètement un certificat sur un site web.

Enregistré le 23 mai 2015

Téléchargement de l’épisode LesCastCodeurs-Episode–125.mp3

Interview Ta vie ton œuvre

@kermiite Blog de Tom Delmas ENSIIE GroupCamp

Pourquoi HTTPS

Protection de la vie privée

• FireSheep

Protection contre les méthodes de certains FAI:

• Ajout de publicités
• Ajout de cookies

Obligation légale de protection des données personnelles

Des détails sur le fait que Chrome et FF vont déprécier des trucs en HTTP. - Hubert SABLONNIÈRE Le HTTPS avec HTTP2 ? - Hubert SABLONNIÈRE

Des infos sur HTTPS et HTTP/2

Mise en place d interception SSL chez un client est ce légal ? Pour surveiller les comme et interdire les posts sur facebook. - Rémy Menétrieux

Les recommandations de la CNIL sur l’analyse de flux HTTPS

Comment marche HTTPS

Ca veut dire quoi être sous HTTPS SSL v2 v3 TLS 1.0, 1.2 c’est quoi tout ce bazar. Les différents niveaux de certificats SSL (classes)

• Certificat extended validation

Chrome vs SHA1 Attaque des suites d’export

Les différences entre les certificats SSL:

• simple
• wildcard
• Multiple domaines

Un certificat == 1 IP ou pas avec le SNI Server Name Indication

Les autorités de certification

Pourquoi mon navigateur a confiance dans le serveur SSL des cast codeurs?

Nos navigateurs autorisent des centaines de CA Une seule suffit à tout bousiller

CNNIC banni par Google CNNIC dénonce l’attitude de Google ANSSI chopée par Google

Discussion sur les proxy et les proxy SSL

Google Chrome HTTPS pinning Mozilla se base sur la liste de chrome HPKP DANE DNSSEC Key pinning et interceptions Pas de DANE dans les navigateurs

Les autorités de certification gratuites:

• https://www.startssl.com/ (mais révoquation payante)
• https://www.wosign.com/english/freeSSL.htm
• https://fr.godaddy.com/ssl/ssl-open-source.aspx (pour les projets open source)
• https://letsencrypt.org (futur proche)

Comment les vendeurs de browsers choisissent les CA qu’ils supportent nativement? Procédure standard ou jungle? - Jean-Baptiste Nizet

Mozilla a des critères Pas que les navigateurs mais aussi les systèmes d’exploitation Forum des CA CACert

Pourquoi n’existe-t-il pas de CA public. L’Etat n’est-il pas plus habilité pour ce service que des boîtes privées? - Jean-Baptiste Nizet

Il y en a plein en fait France, US, Chine et autre: Departement de la defense américain, Hong-Kong post office etc

La suite

Comment obtenir un certificat. Comment serrer les boulons.

Nous contacter

Contactez-nous via twitter http://twitter.com/lescastcodeurs sur le groupe Google http://groups.google.com/group/lescastcodeurs ou sur le site web http://lescastcodeurs.com/ Flattr-ez nous (dons) sur http://lescastcodeurs.com/ En savoir plus sur le sponsoring? [email protected]