Myid.is le vaporware de l'année est (presque) devenu une réalité
Pour l’instant, honnêtement, il n’y a pas grand chose, mais c’est déjà ça…
Lancement de Vaporware, l'autorité de certification de votre identité numérique, 500 invitations à gagner
English version at the bottom of the page
Après des mois de travail acharné, j’ai la fierté de vous annoncer le lancement officiel de Vaporware, la toute première autorité de certification globale de votre identité numérique, qui ouvrira en bêta privée dans les prochains jours et pour laquelle nous offrons une invitation aux 500 premières personnes se signalant dans les commentaires.
Firefox 2 et SSL 2
En testant la dernière nightly build de Flock, je me suis rendu compte que celui-ci ne supportait plus les versions de SSL inférieures à 3. Je trouve cela particulièrement stupide quand on voit le nombre de sites utilisant de vieux certificats SSL – comme des hébergeurs professionnels, d’autant que ceci concerne aussi les versions 2 et 3 de Firefox.
Le ticket 236933 ouvert chez Mozilla et intitulé Disable SSL2 and other weak ciphers explique les raisons de ce retrait :
Heya,
I would suggest to change the default security-settings … I have disabled the following myself:
SSLv2, all ciphers lower than 128 bit. And it would be even better yo disable md5 and only allow the others like sha-1, …
SSLv2 isn’t secure anymore since some time. SSLv3 and TLS are the only “secure” once to use these days as far as I know. It’s good mozilla includes them “MAYBE” for compatibility, but they shouldn’t be enabled as defaults …
I wouldn’t advise people who use their computer for internet-banking to enable SSLV2, … Ofcourse there are maybe easier ways to break get the necessary info, but disabling the things I mentionned above would help.
En cas de besoin pressant, réactiver SSL V2 reste toutefois possible :
Dans la barre d’adresse, tapez : about:config puis entree
Filtrez sur security.enable_ssl2
Mettez la valeur à true
Je ne sais évidemment pas ce qui est le plus stupide : toujours utiliser une vieille version pas sûre de SSL ou en désactiver et cacher le support. La discussion à ce sujet dans le bug sur le trop faible nombre de sites utilisant SSL V2 ne m’a pas vraiment convaincu. Désactiver le support des anciennes versions de SSL par défaut, en permettre la réactivation en cas de besoin d’une manière plus simple qu’en allant farfouiller dans le about:config, par exemple dans préférences -> avancé -> chiffrement comme c’était le cas autrefois, en l’accompagnant au besoin d’un message prévenant l’utilisateur des risques encourus m’aurait semblé beaucoup plus sensé.
Merci à Jeremy de #flock@irc.flock.com pour son aide.
Billets précédents :
Passionné d'informatique depuis l'âge de six ans, je travaille en tant que responsable qualité chez blueKiwi Software, éditeur spécialiste des outils collaboratifs en entreprise. Ma double formation en sciences politiques et en informatique me permet de porter un regard particulier sur les problématiques abordées par mon poste.