Pourquoi obliger le SSL par défaut est une bêtise

Pourquoi obliger le SSL par défaut est une bêtise

Cet article est une reprise de l’ancien contenu du site, les anciens propriétaires en sont donc les propriétaires, nous l’avons mis ici en tant qu’hommage.

Chrome et Mozilla discutent de la possibilité de restreindre les fonctionnalités de leurs navigateurs sur les sites web qui n’utilisent pas le protocole SSL.

Sur le papier, c’est posé avec de bonnes intentions : obliger les développeurs de sites à crypter la communication entre le serveur et le client. Cela offrira plus de sécurité aux utilisateurs et moins de tracas aux développeurs paresseux, n’est-ce pas ?

Cependant, le HTTPS fonctionne sur la base d’autorités centrales. Vous devez obtenir un certificat SSL auprès d’une autorité réputée, sinon votre navigateur affichera ceci :

This connection is untrusted
Michou ne va pas lire cet article, ni même chercher et découvrir ce qu’elle peut faire pour avoir accès au site. Elle va courir. Un virus !

Les moteurs de recherche vont faire tomber votre site, l’utilisateur va partir et votre site est mort.

C’est là que ça devient passionnant, car les autorités centrales sont des sociétés privées et elles ne sont pas nombreuses. Elles n’ont pas besoin de vous donner le certificat, et elles peuvent le révoquer à tout moment.

Ainsi, imposer SSL partout donne à quelques grandes entreprises la possibilité de décider qui a le droit d’utiliser le Web et qui ne l’a pas. Vous aimeriez faire quelque chose qu’ils n’ont pas à faire. Cherchez-vous à faire quelque chose qu’ils n’aiment pas ? Il est vrai que montrer une image classique avec un sein ne plaît pas à Apple ou Amazon. Créer un nœud Tor ne plaira pas à Amazon ; les bitcoins ne font pas la cour à Paypal ; et être gay ne rassure pas la majorité des gouvernements.

Toutes ces organisations collaborent avec des autorités de certification et le fait que Mozilla en propose une nouvelle ne changera rien au fait qu’elles sont en partenariat. Si vous faites quelque chose qui ne plaît pas aux gens, il suffit de les contacter pour annuler votre certificat afin de supprimer votre profil du Web.

Sans aucun essai. Sans procès. Sans recours.

Le Web sera transformé en un magasin d’applications.

EDIT :

Je mets mon commentaire sur le sujet du chiffrement ici, car j’ai peur que tout le monde y aille de sa petite phrase.

L’article inclut une option pour laisser le cryptage. Cela ne change rien puisque c’est centralisé et privé, et sera soumis à la pression comme tous les autres. Je suis un fan de Mozilla j’ai confiance en eux, cependant ils n’ont pas de moyen de garantir la sécurité du cryptage qui n’est pas un facteur même si c’est seulement par rapport au gouvernement.

Que se passera-t-il ensuite ? A la fin, tous les sites bordant les frontières deviendront les leurs ? Alors, quel est le bon point d’arrêt pour tout faire tomber d’un coup ?

sam artois

A propos de l'auteur

Samuel Artois est un développeur Python passionné d'automatisation et de marketing. Depuis plusieurs années, il a développé une expertise solide dans ces domaines et a su mettre ses compétences en pratique sur de nombreux projets.

Laisser un commentaire