Mise à jour 04/11 11h23 : Le problème que j'évoque dans ce billet n'existe plus depuis quelques heures. Merci à Nico de l'avoir signaler :-). Firefox 3 beta 1 ne bloquera plus l'accés aux sites SSL qui n'ont pas de certificat signé par une autorité de confiance. La page d'erreur s'affiche toujours, mais on a désormais un bouton (voir une capture d'écran) permettant d'ajouter le site dans une liste d'exception. Et l'on peut ensuite accéder au site normalement. Vous pouvez donc considérer le contenu de ce billet comme étant obsolète :-)

Ce n'est pas une nouvelle fraîche. Je l'avais déjà lu il y a plusieurs semaines sur la planete Mozilla, sans y attacher une grande importance (désolé, je ne retrouve pas le lien du billet en question). Mais voilà, j'ai voulu aller sur un site perso en SSL (https) avec la version alpha de Firefox 3, et je n'ai pas pu y accèder. Et ça m'agace au plus haut point. En effet, si le site utilise un certificat non signé par une autorité de confiance, Firefox affiche une belle page d'erreur expliquant que le site n'est pas sûr ! Il n'y a plus le simple popup d'avertissement. Il n'y a plus aucun moyen de passer outre cet avertissement. Firefox vous empêche tout bonnement d'aller surfer sur ces sites SSL.

Et là je dis : C'EST DE LA BÊTISE PURE ET SIMPLE !

Pourquoi ?

Premièrement, à cause de la conséquence : la plupart des sites SSL seront inaccessibles aux internautes lambda car la plupart des sites SSL utilisent des certificats non signés par des autorités de confiance.

Deuxièmement, parce que Mozilla semble imaginer que tous les propriétaires de serveurs font parti du Fortune 500 ! En effet, savez-vous pourquoi ces certificats ne sont pas signés par une autorité "de confiance" ? Parce que ça coute la peau des fesses (enfin presque [1]) ! 400 dollars par an chez Verisign ! Une véritable extorsion ! De là à penser que... Non rien. Enfin bref, toutes les associations, les propriétaires privés de serveurs, les petites entreprises etc, ne peuvent pas se payer ces certificats, donc font ce qu'ils peuvent pour avoir des accès sécurisés à leurs applications.

Troisièmement : cette précaution est complètement inutile. Elle emmerdera tout le monde (c'est à dire les internautes et les propriétaires de site en grande majorité honnêtes), tout en apportant rien. En effet, il y a deux solutions pour contourner cette interdiction :

  1. Le site ne propose plus un accès en SSL. Pour la sécurité des échanges, c'est donc mort. Un comble quand on sait que Mozilla prône pour un web mieux sécurisé.
  2. Le site en question propose, sur un espace non sécurisé (ah ah la bonne blague), la clé publique de l'autorité qui a signé le certificat, (la clé publique du certificat racine et cette autorité étant dans la majorité des cas le site lui même, et non une autorité reconnue comme "de confiance"). Un lien vers cette clé, un clic, et elle est installée dans Firefox. Cette autorité "factice" devient alors, aux yeux de Firefox (donc à vos yeux), une autorité de confiance. On peut alors se balader sur le site SSL. Conclusion : Mozilla voulait, par cette page bloquante, empêcher que l'internaute aille sur un site malveillant. Peine perdue. Certes, c'est plus long d'aller cliquer sur un lien qui installera un certificat, que de cliquer aveuglement sur un popup d'avertissement comme c'est le cas dans Firefox 2.0, mais le résultat est finalement le même (oui, il y a un soupçon de mauvaise foi dans mon propos).

Une autre solution à ce problème, qui serait avantageuse pour les petits hébergeurs, les associations etc, serait que Firefox inclus en standard, au même titre que les clés publiques de Verisign et cie, la clé publique du certificat racine de CAcert, un organisme qui signe gratuitement vos certificats. Mais bon, comme c'est gratuit, on vous dira que ce n'est pas une autorité "de confiance"...

D'un autre coté, on peut se demander si tout ça n'est pas la faute à SSL. On devrait peut-être tout bonnement le virer et le remplacer par quelque chose de plus simple. Ce protocole est franchement compliqué à utiliser, ne serait-ce que lors de la création d'un certificat, avec des lignes de commandes à rallonge et des fichiers de configurations obscures.

Note : Firefox 3.0 n'étant qu'à sa version alpha, on peut espérer qu'ils fassent machine en arrière. Mais bon.. MIse à jour : c'est fait, voir l'avertissement en début de billet :-)

Notes

[1] Mise à jour : parmis les organismes reconnus par Firefox, il y a startcom qui propose des certificats gratuits, et pour les autres, les tarifs pour un certificat de base vont de $80 à $249 : $80 chez instantssl.com, $149 chez thawte.com, $159 chez entrust.net et $249 chez geotrust.com. Même si c'est moins cher que chez verisign, ça n'est quand même pas donné pour tout le monde.