-
@pbeyssac @edasfr Oui, sauf que du coup l’admin de truc.org en est notifié, et toute la planète aussi. Et pas juste le bout de lien réseau où est la personne que tu cherches à powner comme c’est le cas aujourd’hui avec une CA Symantec sur un MitM avec du matos BlueCoat…Permalink On twitter.com
Mood 0
-
@pbeyssac @edasfr On n’est pas DU TOUT sur le même ordre de grandeur en terme de modèle de menace et de sécurité là.On twitter.com
Mood -2 🙁
-
@pbeyssac @edasfr HPKP ou DANE/TLSA, ça erradique complètement les MitM corporate, les « tests » de la CA de l’ANSSI, les CA vérolées Comodo pour google.com, le fake certif’ github.com de Lets Encrypt, etc.Permalink On twitter.com
Mood -3 🙁
-
@pbeyssac @edasfr La plupart des cas merdiques d’interception sur uniquement une portion de ligne est couvert par HPKP ou TLSA. Ça nécessite du matos bien plus malin et lourd à déployer pour espérer péter ça. En particulier du matos actif de modification de paquets, et pas juste du MitM passif.Permalink On twitter.com
Mood 0
-
@pbeyssac @edasfr Mais oui, si tu pars du principe que ton registrar est pourri, ça va être compliqué 😋 Mais au moins tu as le choix de ton registrar, ce qui n’est pas le cas des CA.Permalink On twitter.com
Mood +3 🙂