effraie

Effraie.org

Pour un internet libre

Vous allez entrer sur le serveur Effraie.org via une connexion sécurisée SSL.

Notre certificat de sécurité est délivré par CACert et il est possible que votre navigateur considère notre certificat comme non valide.
CACert est un organisme de certification gratuit et libre, mais qui n'est pas reconnu par les principaux navigateurs.

Dans ce cas, vous aurez un avertissement de ce type : Cette connexion n'est pas certifiée
3 solutions s'offrent à vous :

Cliquez ici pour entrer sur la partie sécurisée du site Effraie.


https et ssl, qu'est-ce que c'est ? (puristes, attention, c'est simplifié)

Il s'agit d'un protocole, basé sur un système de clefs publiques et privées, permettant de (tenter de) garantir que la communication entre le client et le serveur est chiffrée de bout en bout. Si l'utilisateur est véritablement en mesure de faire confiance à la connexion https, il a l'assurance que personne n'est en mesure d'épier les données qu'il échange avec le serveur, par exemple un couple identifiant mot de passe.

Au contraire, si l'utilisateur ne peut vérifier la fiabilité du certificat, le remède peut se trouver être pire que le mal : croyant en la sécurité de ses échanges avec un serveur identifié, l'utilisateur peut être victime dites "man in the midle", dans laquelle un tiers usurpe l'identité du serveur en présentant un certificat falsifié.

L'utilisateur ne pouvant pas certifier par avance tout les sites qu'il va visiter (et n'ayant généralement aucun moyen de vérifier s'il peut ou non accorder sa confiance au dit site), il doit faire appel à un "tiers de confiance". Le dit tiers va (ou est censé) vérifier que le site qui sollicite au-prés de lui un certificat est bien digne de confiance (rien de politique la dedans, il s'agit simplement de s'assurer que le serveur est bien celui qu'il dit être : si vous prétendez être google.com, vous devez pouvoir le prouver au tiers de confiance avant d'obtenir un certificat).

Ensuite, pour être utilisable par le quidam, le certificat devrait pouvoir être reconnu par défaut par le navigateur du quidam, sans intervention de sa part. (si tt le monde comprenait les subtilité de ssl, on échangerait des fingerprint par téléphone, et on auto-signerait nos certificats comme des gorets, ce qui est d'ailleurs ce que font en général ceux qui ne s'adressent qu'a un public averti).

Il y a plusieurs faille à ce système, bien qu'on ai rien de meilleur à proposer à ce jour :

Pour tenter de remédier à ça, CACert essai d'être un tiers de confiance ouvert et géré par ses utilisateurs. malheureusement il n'est pas reconnu par défaut par les navigateurs (même pas firefox : il y a d'ailleurs une polémique autour de l'audit mené par firefox sur CACert, laissant à penser que la chaîne de confiance chez CACert n'est pas idéale).

Hors, quand un certificat n'est pas reconnu par défaut, on arrive le problème suivant : les utilisateurs ont des warning de leur navigateur, qu'en général ils ne lisent pas, ce qui soit les empêche d'utiliser le service, soit rends absurde la démarche de sécurité, puisqu'ils pourrait parfaitement accepter un certificat frauduleux...

Bref ont à le choix entre :