AVERTISSEMENT : Afin de lire ce billet dans les bonnes conditions, il est préférable de le consulter directement sur sa page d'origine, avec Javascript activé.

Si vous êtes déjà passés à Firefox 3, vous avez dû noter un gain de rapidité, de puissance et d'ergonomie. Ce que vous ne savez peut-être pas, c'est qu'il fait très très très attention là où vous allez pour éviter que vous ne mettiez le pied dans un get-apens.

Des malandrins s'amusent à monter le protocole de leur serveur web (la première partie d'une IRI) de http:// à https:// afin d'obtenir la petite serrure fermée en bas, qui vous fera croire que vous êtes en sécurité.
Seulement, pour installer un serveur en https, rien n'est plus facile. Votre communication est peut-être cryptée, mais qui dit que le site en face est effectivement ce qu'il prétend être ?

Afin de résoudre cette question, il vaut mieux le compléter d'un passeport biométrique certifié par une autorité indépendante, qu'on appelle un “pair de confiance”. On utilise un procédé d'échange de clés cryptées, tout droit issu des protocoles d'espionnages de la Guerre Froide. Le serveur m'envoie un message codé, mon navigateur le décrypte grâce à une clé de décryptage fourni par un site “tiers de confiance”. Une espèce d'hologramme qui garanti que la carte de crédit n'est pas une bête photocopie, mais bien son original certifié.

Démonstration : Cette page est supposée m'informer sur les risques de sites web contrefaits. Si je clique dans Fx3...

(comme d'hab, on clique sur la première image, puis flèche droite pour défiler)
Échec de la connexion sécurisée Vous ne devez pas ajouter d'exception si vous n'avez pas l'habitude de recevoir une exception. Ajout d'une exception de sécurité Ce site essaie de s'identifier lui-même avec des informations invalides. Impossible de vérifier ce certificat pour une raison inconnue. impossible de négocier un pair de sécurité acceptable.

Nous ne remercions jamais assez les spécialistes du site CERT-IST sur la sécurité informatique pour avoir commis cette superbe bourde : certifier par leur site web leur propre certificat d'authenticité de leur site web.
Magnifique.