Réconcilier Firefox 3.x.x avec les certificats SSL

Par mushroom.

Ce document est placé dans le Domaine Public.

Vous noterez un ton un poil polémique dans ce T&A, et vous aurez raison. C'est qu'il m'est vraiment pénible de lui trouver est une vraie raison d'être. J'espère sincèrement que Mozilla va prochainement corriger le tir en la matière et arrêter le délire « sécuritaire », rendant obsolète cette contribution.

« If you think your users are idiots, only idiots will use it. » -- Linus B. Torvalds.

S'il vous arrive d'avoir affaire à des sites proposant un accès sécurisé par SSL (en https, par exemple), vous avez dû remarquer que la troisième mouture de firefox est particulièrement pénible pour accepter les certificats non agréés par les autorités qu'il reconnait. En effet, fermement décidé à effrayer la ménagère qui oserait braver l'autoritaire panda, celui-ci vous fait toutes sortes de chinoiseries (-- pour ceux qui se demandent, oui il y a un sous-entendu moisi dans cette phrase).

Voici donc comment écourter un peu la procédure d'acceptation des certificats « suspects ». Commencer par taper about:config dans la barre d'URL, puis modifiez les deux paramètres suivants de la sorte (double-clic sur la valeur située à droite toute, pour ceux qui ne savent pas comment faire) :

browser.xul.error_pages.expert_bad_cert   [...]  true
browser.ssl_override_behavior             [...]  2

Ainsi le bouton pour accepter le certificat sera disponible directement sur la charmante page « flicaillon », et le certificat sera préchargé. Soit une procédure en deux clics au total, ouf !

Pour ceux qui douteraient de la débilité du comportement par défaut, quelques arguments :

l'agrément des certificats est payant, c'est pour cela que beaucoup de sites auto-signent les leurs ;
le but d'un site proposant une connexion en SSL est d'éviter que les données qui transitent entre votre machine et le site ne soient en clair, soit un plus en confidentialité pour vous dans tous les cas. Le but d'un certificat est de vous assurer que les éventuelles données personnelles que vous fournissez le sont à un site reconnu comme sérieux par une autorité. Donc à part les sites qui vous demandent des informations vraiment personnelles (banques, services publics, bref tout ce qui ne se contente pas de la paire classique login/mot de passe), vous avez tout intérêt à accepter les certificats auto-signés ;
le rôle d'un navigateur est de vous offrir le meilleur rendu possible des pages HTML, pas de vous dicter où vous devez aller. Imaginez une voiture ou un vélo qui refuse de prendre simplement un virage sous prétexte que le taux de délinquance du quartier que vous allez traverser n'est pas bon ! Vous diriez sans doute que votre engin outre-passe sa fonction et vous auriez raison ;
préférer la peur à la pédagogie n'est pas franchement une preuve de respect pour l'utilisateur qu'on clame par ailleurs partout être au coeur de ses préoccupations.

Thèmes : #logiciels #mushroom #reseau #securite #trucs

Sauf indication contraire, ce document est placé sous licence CC-BY-SA 3.0.