GuiGui's Show

Ouai, il y a pleins de choses mais il manque la base. Faire en sorte que l'internaute puisse voir rapidement et facilement si le certificat est fiable.
Si tu es sur un réseau qui fait du MITM et que tu as une une autorité de certification maison d'installer sur ton PC, et bien ta sécurité par en fumé :-/
(cas en entreprise)
J'ai pas trouvé de plugin firefox pour avoir un hash en image d'un certif.

À quoi servirait une telle image dans le cas que tu exposes ?

• D'une part, il faudrait se souvenir de l'image associée à chaque site web entre une connexion à Internet non interceptée (chez moi ?) et une connexion trafiquée (le travail) ;
  
  
• D'autre part, au travail, tous les sites web présenteront le même certificat x509, celui du boîtier d'interception, donc la même image. Cela permet d'identifier le boîtier d'interception, mais pas plus qu'un Certificate Patrol ou que le contrat de travail et ses annexes (oui, je suis du genre à lire avec attention ces documents).

Pour moi, le problème que tu exposes n'a pas de solution technique. À partir du moment où le réseau et l'une des extrémités se trouvent entre les mains d'une autre personne que toi, cette personne a un pouvoir intégral sur tes communications. Tout ce qui permet d'éviter l'interception des communications sera mis en défaut : TLS (injection d'une AC maison), TLS+HKPK (il "suffit" au boîtier d'interception de virer cet entête HTTP en plus d'injecter l'AC maison), TLS+DANE TLSA (il "suffit" de ne pas activer la validation DNSSEC sur les récursifs DNS de l'entreprise), etc. Les bases de la sécurité, c'est de comprendre que ce combat est vain. Le mieux est de chercher une solution humaine : syndicats, représentants du personnel, débat avec la hiérarchie du bien-fondé de cette démarche d'interception des communications, etc. À défaut : BYOD. À défaut : Tails. L'une et l'autre permettent de reprendre, en partie ou totalement, le contrôlé sur l'une des extrémités de la communication.

En revanche, un hash visuel du certificat x509, ça pourrait être pratique pour lutter contre le phishing. Et encore… Demander aux utilisateurs de mémoriser une image par an pour chacun des sites web "critiques" de l'organisation, ce n'est pas gagné… Si l'on affiche le certificat de l'AC, on s'expose à un site web fake qui utilise un certificat signé par la même AC. Utiliser un certificat wildcard, c'est le mal. Reste un multi-domaines… avec tous les sites web de l'entreprise, même ceux inaccessibles de l'extérieur… ce qui donne des infos à un attaquant. Demander à ces mêmes utilisateurs d'afficher ce hash visuel sur leur smartphone et sur leur PC à la maison, c'est impossible alors que c'est pourtant sur ces engins qu'ils cliquent sur les emails de phishing…