Post
:firefox: 🛡️ #Firefox
Si vous utilisez Firefox dans votre entreprise, il y a fort à parier qu'ils ont installé LEUR certificat racine dans Firefox pour pouvoir mettre le nez dans votre trafic https (chiffré).
Voici une extension Firefox qui vous affiche :
- un bouclier vert quand c'est ok.
- un bouclier bleu quand c'est un certificat pas reconnu par Mozilla.
https://addons.mozilla.org/fr/firefox/addon/certificate-trust/
@sebsauvage L’information est aussi potentiellement disponibles directement en cliquant sur le cadenas dans Firefox (capture faite sur mon Home Assistant dont le certificat est signé par ma CA interne perso).
De plus attention, l’extension va indiquer un certificat non reconnu également pour les sites internes signés par une autorité interne, ce qui est parfaitement légitime et bien plus sécure que tout autre méthode…
@sebsauvage C'est aussi normalement mentionné dans la charte informatique du lieu de travail.
Sinon petite astuce : si l'orga autorise sur les mobiles l'installation de Nightly, cela donne accès à about:config, ce qui permet d'activer le DNS over HTTPS.
@sebsauvage dans mon entreprise, c'est plus simple, on ne peut pas installer firefox, et on doit utiliser chrome par défaut, sauf que edge fonctionne mieux, et qu'ils n'ont pas encore eu l'idée de le désinstaller. Et j'ai beau installer uBlockOrigin lite, régulièrement il est désinstallé d'office.
@audionuma @sebsauvage faudra dire au responsable sécu que uBlock Origin c’est un élément de sécurité indispensable sur un ordinateur.
Je ne comprends pas.
Comment le certificat de Firefox peut-il valider la clef du serveur non-Firefox ?
Ps : je n'ai qu'une connaissance très imparfaite de ces mécanismes.
@tanavit
Ton navigateur ne geulera pas tant que le certificats présenté par un site web est signé cryptographiquement par un certificat racine installé dans le navigateur.
Ton navigateur en a toute une collection.
Une entreprise peut très bien installer de force sont propre certificat racine dans le navigateur, puis détourner les sites web (proxy) pour déchiffrer le contenu.
(suite)
@tanavit
Le certificat de next.ink ne sera plus signé par Let's Encrypt, mais par ta boîte.
Ton navigateur ne bronchera pas : Pour lui tout va bien du moment que le certificat est signé par une des autorités de certification.
Il serait intéressant que le browser vérifie le RR CAA dans le DNS (indique quelle autorité signe le certificat). Mais officiellement "c'est pas fait pour ça", pourtant ça permettrait de détecter ce genre de connerie
@tanavit@toot.aquilenet.fr @sebsauvage@framapiaf.org C’est le problème des autorités de certification : il n’y a AUCUNE identification du signataire.
Tu es déclaré dans la racine ? Tu peux signer tout ce que tu veux pour n’importe quel domain.
A priori la recherche duck duck go de Firefox utilise des certificats locaux 🤔
@helioselene
mmmm... ici j'ai bien le bouclier vert, donc certificats officiels.
J'ai le bouclier vert pour d'autres sites. Bizarre.
@sebsauvage Oui mais quand ils bloquent aussi l’installation des extensions FF… ben tu pleures !!
@sebsauvage merci pour l'information !
@sebsauvage Oh bah non ne révèle pas nos secrets comme ça aux yeux de tous 🫣
A space for Bonfire maintainers and contributors to communicate
