More Tricks for Defeating SSL

• Moxie Marlinspike

• Rappels sur les certificats X.509 et les chaînes de confiance

• sslsniff : attaque de l'intercepteur pour tromper les utilisateurs

• sslstrip :

• Intercepte les requêtes HTTPS
• Initie la connexion chiffrée
• Renvoie la page en HTTP au client, sans chiffrement

• Acheter un certificat :

• Validation automatique quasi-systématique
• Contact administratif du Whois