Salut,
je viens de regarder la conférence d’Aeris autour de TLS.
Je découvre à cette occasion Hpkp. Qui permet en gros d’éviter l’alerte certificat pour un nouvel utilisateur.
Cela semble assez intéressant à implémenter. Est-ce que certains d’entre vous ont déjà essayé ? je n’ai rien trouvé en recherche par mot clef sur github ou le forum.
Comme ya le projet let’s encrpyt qui est en cours, ce n’est pas forcément judicieux de faire deux trucs concurrents.
Si cela intéresse certain-es, je peux essayer de bricoler pour voir ce que ça donne.
A+
Malheureusement HPKP ne peut rien faire pour les certificats autosignés (oui, il y a une erreur dans ma conf, je n’avais pas encore bien compris HPKP à l’époque :D), ça ne peut protéger que contre une compromission du certificat APRÈS une première visite (le navigateur enregistre le certificat déclaré dans HPKP à la 1ère visite et hurle s’il change lors des visites suivantes).
C’est DANE/TLSA (via DNSSec) qui permet de déclarer dans le DNS un certificat ou une autorité de certification non standard et d’éviter (dès la 1ère visite) les alertes de sécurité, mais ce protocole n’est encore disponible nativement dans aucun navigateur et même les extensions ajoutant ce support ne permettent pas d’utiliser un certificat auto-signé sans erreur pour le visiteur.