Korbak":27uflq86 a dit:
Cet avertissement est super anxiogène. C'est pas normal, car tout ce que ça veut dire, c'est "ce certificat n'est pas certifié par une source officielle".
Bah en fait, ça peut effectivement vouloir dire ça, mais ça peut aussi vouloir dire pas mal d'autres trucs, plus ou moins sympa, genre :
- t'essaie de te connecter à "machin" et le certificat est pour "bidule"
- le certificat a expiré
- le certificat n'est pas signé correctement
- sans doute d'autre trucs auxquels je pense pas là tout de suite
Pour le savoir, il faut cliquer sur « Détails techniques » et, dans le cas c'est que l'autorité n'est pas reconnue, après avoir cliqué sur « ajouter une exception », cliquer sur « voir le certificat » et vérifier par qui ça a été émis.
Je recommande vraiment pas de juste ignorer l'avertissement sans chercher à regarder la raison.
Par exemple, un certificat expiré depuis quelques semaines, c'est probablement juste l'admin qui a oublié de le renouveler, a priori pas de souci (d'ailleurs si c'est un site associatif ou perso, ça peut être sympa de le signaler au webmaster).
Par contre si la signature sur le certif n'est pas correcte, c'est un truc qui arrive jamais en vrai par hasard, donc c'est super suspect (c'est un peu l'équivalent de tu demandes sa carte d'identité à quelqu'un et il te montre un faux).
Le nom qui est pas correct, c'est généralement que le site a pas été vraiment configuré pour faire du HTTPS, et que la machine qui héberge ce site héberge aussi d'autres, qui eux ont un certif à eux, donc le serveur fait ce qu'il peut et essaie de te filer le certif de l'autre site.
Si c'est l'authorité qui n'est pas reconnue, comme tu dis ça peut être une CA alternative (et effectivement ça vaut le coup d'installer CACert dans son naigateur pour qu'elle soit reconnue, c'est plus sûr et moins chiant que de lire les avertissements à chaque fois), ou des gens qui ont fait leur propre CA ou certif auto-signé parce qu'ils sont contre le système actuel de CAs. Là il faut évaluer si c'est crédible que ça soit le cas : si on parle du site d'une banque ou de google, clairement pas, donc il ne faut pas ignorer l'avertissement ; si c'est un site militant, nettement plus.
Par exemple, CA Cert, une autorité de certification indépendante, très regardante et de qualité, n'est plus reconnue. Résultat : on a ce message horrible en mode "ATTENTION, DES PIRATES".
Ouais mais en même temps du point de vue d'un ordi, c'est très difficile de faire la différence de façon fiable entre une attaque et un truc comme ça. Du coup, le message est à interpréter comme « attention là je peux pas te garantir que c'est pas des pirates ».
C'est un problème difficile, de communiquer correctement à l'utilisateur autour des problèmes potentiels de sécurité : oui, 90 % du temps (chiffre au hasard, c'est probablement plus) c'est une fausse alerte, mais en même temps on n'a pas non plus envie de manquer les 10 % qui restent.
Si on regarde les sources officielles, ce sont Facebook, Microsoft, Google, le gouvernement Chinois, le gouvernement Syrien... Ça ne vaut pas forcément mieux.
Y'a le gouvernement français aussi, c'est pas forcément mieux non plus, surtout ces temps-ci