Tout le problème réside dans la qualité de la validation des certificats https.
Les site bancaires, pour l'exemple, devrait disposer d'un certificats https validé, ou estampillé comme autorisé, par la Finma.
Résultats des courses un site bancaire aura son petit flag https avec un tag spécifique pour dire "bancaire".
Ca éviterait donc qu'un site
https://mabamque.com soit reconnu comme un vrai site bancaire, même si son certificat https est valide est vient de.. au pif.. letsencrypt.
Bien sur cela implique d'avoir une double validation du certificats, une fois sur sa validé auprès de l'autorité de certification initial, une fois auprès de l'autorité tierce de responsabilité (Finma dans notre cas)
C'est en gros de la validation à 4 yeux.
Partager