Ne pas télécharger son fichier de révocation, est-ce si grave?

Salut,

En travaillant à l’amélioration de cesium.app m’est venue une réflexion :

Dans la mesure où on ne peut jamais changer le mot de passe d’un compte G1, même si un pirate me volait mes identifiants, je pourrais toujours à tout moment télécharger mon fichier de révocation, n’est-ce pas ?

Du coup, à partir du moment où on est sûr de se souvenir de ses identifiants, il semble un peu moins crucial de télécharger dès le départ son fichier de révocation.

Je passe à côté d’un truc, ou bien ?

Merci :slight_smile:

La raison pour laquelle le téléchargement du fichier de révocation est indispensable dés la création du compte membre est justement l’oubli/perte des identifiants.

C’est déjà arriver de nombreuses fois que des personnes absolument sûr et certaines de se souvenir de leurs identifiants les avaient en fait mal notés ou/et les ont quand mêmes oubliés/perdus.

Partir de l’hypothèse que l’on pourrait se soustraire a cette étape parce que nous on n’est infaillible, ça ne nous arrive pas a nous d’oublier nos identifiants, est une grave erreur qui nous privera de DU pendant 2 ans en cas de perte/oubli de nos identifiants.
Nos certificateurs ne pourront pas nous recertifier sur un nouveau compte car il n’auront pas la preuve que l’on n’a plus accès a l’ancien compte.

Ce cas est réellement arrivé a un membre Lodévois a 2 pas de moi, il a du attendre 2 ans sans DU, je peut te dire qu’il en à beaucoup voulu à la personne qui l’a assisté lors de la création de son compte et au logiciel Cesium de ne pas lui avoir proposé de le faire (c’était a l’époque ou l’étape de téléchargement du fichier de révocation n’était pas proposée automatiquement par Cesium).

Cette seule raison est nécessaire et suffisante pour rendre obligatoire le téléchargement de son fichier de révocation à la création du compte.

En ce sens, et pour protéger le certifié, personnellement je ne certifie une personne que si elle a téléchargée son document de révocation. Sinon je prend le risque de certifier un compte qui deviendra un compte fantôme pendant 2 ans, ce qui va créer beaucoup de tension chez mon certifié, et va me bloquer une certif pour rien.

9 J'aimes

Yes, merci pour ces précisions :slight_smile:

Je vais pouvoir mettre à jour la doc de cesium.app pour mieux expliquer le pourquoi du comment.

C’est pas 1 an plutôt (puisqu’on ne refait pas la demande d’adhésion) ?

Non, car la révocation du compte interviendra après la durée d’adhésion x 2 soit deux ans.

2 J'aimes

@vit a déjà bien répondu mais pour préciser, il parle de la révocation implicite, c’est à dire celle qui ce produit automatiquement sans acte explicite de l’utilisateur.

Un compte membre à l’état « expiré » n’est pas revoqué et peut redevenir membre en un clic. Il n’est donc pas possible de certifier un membre sur un nouveau compte sous prétexte que son ancien compte a expiré, car il peut toujours renouveller l’adhésion de son ancien compte et donc se retrouver potentiellement avec 2 compte (si son nouveau compte devenait membre).

Je me souviens qu’on avait déjà eu une discussion sur ce point sur ce forum, @Galuel trouvait cette subtilité dangereuse, (et je partage cet avis), il avait été fait plusieurs propositions pour supprimer cette subtilité ou réduire le risque.

Une proposition serait de révoquer implicitement le compte dés l’expiration de l’adhésion, c’est certes un peu sévère pour qui oubli de se renouveler a temps, mais en même temps (comme dirai l’autre) cela inciterai les utilisateurs a prendre plus au sérieux le renouvellement de leur adhésion :slight_smile:

3 J'aimes