Sur un domaine comme truecrypt.org vous ne pouvez pas voir le site web actuel via https, mais lorsque vous téléchargez les signatures de leurs fichiers ou leur clé pgp, ils vous les envoient via https. Cependant, firefox ne semble pas me donner la possibilité de regarder le certificat dans cette situation.
Quelle est une façon pratique d'examiner le certificat, de préférence sans avoir à installer d'outils supplémentaires...
J'ai pu obtenir cette information en utilisant bouclette , available for Windows/Linux/Unix/MacOS etc.:
curl -v https://www.truecrypt.org
\* SSL connection using TLS\_DHE\_RSA\_WITH\_AES\_256\_CBC\_SHA
\* Server certificate:
\* subject: CN=www.truecrypt.org,OU=Domain Control Validated,O=www.truecrypt.org
\* start date: Apr 10 12:41:56 2009 GMT
\* expire date: Apr 10 12:41:56 2012 GMT
\* common name: www.truecrypt.org
\* issuer: serialNumber=07969287,CN=Go Daddy Secure Certification
Authority,OU=http://certificates.godaddy.com/repository,O="GoDaddy.com,
Inc.",L=Scottsdale,ST=Arizona,C=US(la plupart des sorties ont été coupées pour des raisons de brièveté)
Je considère que ce problème (que vous ne pouvez pas voir en utilisant les outils standard du navigateur) est un problème de sécurité sérieux pour le site web truecrtypt.
Le protocole SSL a deux objectifs : le cryptage et l'authentification. Dans ce cas précis, le cryptage n'est pas du tout important, et l'authentification est très importante. Et eux :
Utilisez le certificat le plus bas de gamme, qui prouve simplement que quelqu'un qui peut accéder à admin@truecrypt.org ou à une adresse similaire a acheté ce certificat.
Ne laisse pas l'utilisateur voir le certificat facilement, donc la vérification du certificat est problématique pour la plupart des utilisateurs.
Si vous voulez voir le certificat en utilisant Firefox par exemple, vous devez désactiver la redirection.
En https://www.truecrypt.org fait une redirection 301 (permanente) vers le site suivant http://www.truecrypt.org .
Les navigateurs et les serveurs mandataires semblent prendre cela très au sérieux et mettent en cache une adresse 301 de sorte que toute visite ultérieure aboutisse directement à l'adresse redirigée.
Dans firefox vous pouvez faire
Maintenant, si tu fais tout ça, et que tu vas dans la section https://www.truecrypt.org il devrait y rester avec un avertissement indiquant qu'il veut rediriger. Mais vous pourrez alors consulter le certificat de la manière habituelle.
SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.
