<
"HTTPS fonctionne sur le principe d’autorités centrales. Vous devez obtenir un certificat auprès d’une autorité de confiance ../..
En clair, forcer SSL partout, c’est donner la main à quelques grosses boites pour décider qui a le droit d’être sur le Web ou pas"

"Par ailleurs, si un chiffrement généralisé de qualité permettrait d’éviter la surveillance de masse, le chiffrement via SSL ne le permet pas.
En effet, un gouvernement a juste à générer des certificat validé par les registrars pour chaque site visité. On sait depuis Prism qu’ils le font"

Dans les commentaires :
"Faudrait déjà que les navigateurs implémentent DANE (en gros on met le certificat dans le DNS, donc pas besoin de CA). Mais ça implique de déployer DNSSEC, d’où l’argument de la simplicité." explications à la suite

> "Si l'AC DigiNotar est reconnue comme AC de confiance par un client TLS (exemple Firfox), elle peut signer des certificats pour n'importe quel nom"
http://www.bortzmeyer.org/6698.html

> Voir aussi ce billet au sujet proche
http://liens.azqs.com/GeekNik/?Vykbvg

< Détournement DNS en Turquie à la réunion FRnog : Solutions possibles
# Résumé du diaporama
- Censure du web via résoleurs DNS
1) FAI Turc censures par résolveurs DNS menteurs (21 mars)
2) Utilisateurs migrent vers DNS public
3) FAI Turc bloquent l’accès à résolveurs DNS public (25 mars). (Internet is kaput)
4) FAI turcs injectent des routes à résolveurs DNS public (29 mars) pour les faires mentir
- Solutions
DNSSEC : Résolveur validant http://liens.azqs.com/GeekNik/?dNS7zA
TSIG ou  DNScrypt : Authentifier le résolveur
Aucune solutions de sécutrité de routage (ex : RPKI) ne fonctionnent pas
Les VPN sont une solution
> Source du lien
http://www.bortzmeyer.org/turquie-dns-frnog.html

# C’est quoi, un DNS qui ment ?
Explication du fonctionnement du sytème DNS + loie en France
http://pixellibre.net/2015/03/cest-quoi-un-dns-qui-ment/