Le fameux duo clef privée + clef publique. Il est automatiquement et aléatoirement définit de manière unique pour chaque site, et nécessite juste le déverrouillage via smartphone (biométrique, facial, schéma, PIN).

Les certificats TLS font partie du quotidien pour n’importe qui manipule les technologies du web.

Mais saviez-vous que vos certificats peuvent trahir vos projets confidentiels, vos environnements non productifs ou la topologie de votre entreprise ?

Certificats avec le système de clés ECC (Elliptic Curve Cryptography). Il est notamment utilisé dans le cadre d’SSL/TLS avec les algorithmes ECDSA & ECDH.

Firefox & Chrome peuvent enregistrer les premaster-keys des sessions TLS directement dans un fichier.
Pratique pour déchiffrer à la volée du trafic TLS vers un serveur.

C'est pas rassurant niveau sécurité, parce qu'il faut simplement mettre une variable utilisateur dans l'environnement (utilisateur, même pas système !!)

Il est aussi possible, si on a la main sur le serveur, de demander au démon SSL d'exporter ces secrets, mais côté client ça devient plus difficile : il faudra un canal SSH pour lire les secrets dans Wireshark.

Voir aussi : http://feedproxy.google.com/~r/dsfc/~3/gV16DmMlxJg/