-
@Florent_ATo C’est assez simple à expliquer. HTTP/2 cherche à minimiser l’ouverture de socket TLS.Permalink On twitter.com
Mood 0
-
@Florent_ATo Il regarde donc si le certificat qu’il a reçu via un canal A ne serait par hasard pas aussi valable pour un domaine B.Permalink On twitter.com
Mood 0
-
@Florent_ATo Si c’est le cas, ça réutilise le canal TLS de A pour aller récupérer des ressources HTTP B.Permalink On twitter.com
Mood 0
-
@Florent_ATo Le problème que j’ai soulevé, c’est que le RFC ne définit pas précisémement les critères de réutilisation …Permalink On twitter.com
Mood 0
-
@Florent_ATo Sinon qu’il faut la même IP en face et que le certificat A soit valable pour le domaine B.Permalink On twitter.com
Mood 0
-
@Florent_ATo Ils ont juste oublié TOUT LE RESTE. Par exemple DANE/TLSA, HPKP, HSTS.Permalink On twitter.com
Mood -2 🙁
-
@Florent_ATo Et tous les trucs client-side, comme Certificate Patrol sur Firefox. Ou encore des configs différentes côté serveur.Permalink On twitter.com
Mood 0
-
@Florent_ATo Au pif un admin foutrait NULL en cipher sur sa homepage, mais AES256 sur son contenu critique.Permalink On twitter.com
Mood -2 🙁
-
@Florent_ATo Ben si tu accèdes à une ressource critique depuis la homepage, zou, à poil…On twitter.com
Mood -2 🙁