Hello à toutes-tous,
Suite à un généreux don on a pu acheter un certificat SSL pour les
associations hébergées sur garradin.eu, qui est reconnu par tous les
navigateurs, à la place du certificat gratuit délivré par CACert, mais
reconnu par aucun navigateur.
Ainsi le HTTPS est désormais activé par défaut pour l'administration des
associations hébergées sur Garradin.eu :)
Ceci empêche un espion de voler votre mot de passe sur les connexions
wifi etc.
Cordialement.
Bonjour
En certificat gratuit, il existe *Let's Encrypt* (https://letsencrypt.org/)
qui fait référence et reconnu par tous les navigateurs.
Le certif a une validité de 90jours et donc il doit être renouvelé
régulièrement. Cependant, il existe de nombreuses solutions
d'automatisation du renouvellement.
Le seul vrai manque est que l'on ne peut pas obtenir un certificat avec
validation de l'organisation.
Cordialement
Bruno
Le 12 mai 2017 à 00:32, BohwaZ/Garradin <garradin@garradin.eu> a écrit :
> Hello à toutes-tous,
>
> Suite à un généreux don on a pu acheter un certificat SSL pour les
> associations hébergées sur garradin.eu, qui est reconnu par tous les
> navigateurs, à la place du certificat gratuit délivré par CACert, mais
> reconnu par aucun navigateur.
>
> Ainsi le HTTPS est désormais activé par défaut pour l'administration
des
> associations hébergées sur Garradin.eu :)
>
> Ceci empêche un espion de voler votre mot de passe sur les connexions wifi
> etc.
>
> Cordialement.
>
> --
> . ____ / ___| Liste d'entraide des utilisateurs de Garradin
> | | _ http://garradin.eu/
> | |_| |
> \____| Désinscription : http://garradin.eu/aide/
>
On Fri, 12 May 2017 10:43:54 +0200 / "Bruno CAILLARD"
<bruno.caillard@free.fr> said :
>
> Bonjour
>
> En certificat gratuit, il existe *Let's Encrypt*
> (https://letsencrypt.org/) qui fait référence et reconnu par tous les
> navigateurs.
>
> Le certif a une validité de 90jours et donc il doit être renouvelé
> régulièrement. Cependant, il existe de nombreuses solutions
> d'automatisation du renouvellement.
>
> Le seul vrai manque est que l'on ne peut pas obtenir un certificat
> avec validation de l'organisation.
Hello, le vrai manque de Let's encrypt c'est qu'ils ne font pas les
wildcards et qu'ils limitent à 100 sous-domaines par domaine.
Garradin.eu dépasse de loin cette limite (2000+ sous-domaines). Et on
ne peut pas demander un nouveau certificat à chaque fois que qqun crée
un nouveau compte de test, ça serait ingérable.
Ça fait plusieurs années que j'attends qu'ils se bougent sur ce point
mais ils refusent, donc pas le choix et obligé d'utilser un fournisseur
payant. A mon avis c'est plus une volonté de vouloir préserver le
marché des certificats payants de la part de LE…
Donc là on a un certificat pour 3 ans (40 € / an). Peut-être que dans
les 3 prochaines années LE sera plus volontaire que sur les 3 dernières
et qu'on pourra se passer de renouveler le certificat payant… On verra.
Je suis aussi assez suspicieux sur l'indépendance réelle de LE. On a vu
LE être poussé par Chrome et Firefox, puis les deux navigateurs
supprimer de leur chaîne de confiance le seul CA concurrent à LE qui
offrait des certificats gratuits (StartSSL). Maintenant on voit qu'ils
désactivent des fonctionnalités pour les sites en HTTP normal, et
Mozilla veut carrément les interdire à terme. C'est bien sympa, mais ça
donne à LE un poids énorme, car c'est le seul provider qui offre des
certificats gratuits, et utilisé par une majorité de sites. Si LE
capote, ou décide de passer à un modèle payant, on sera bloqué et
incapables de retourner à HTTP non sécurisé, et obligés de payer. C'est
une vision assez parano mais c'est un risque qui se profile… C'est
aussi le risque de voir LE forcé par un gouvernement de ne pas donner
de certificat à tel ou tel site controversé par exemple…
Enfin c'est un autre débat, mais ce qui se profile est à mon sens assez
inquiétant, car on arrive à une centralisation assez extrême.
Cordialement,
-- bohwaz
Le 12/05/2017 à 13:35, BohwaZ/Garradin a écrit :
> C'est une vision assez parano mais c'est un risque qui se profile…
C'est
> aussi le risque de voir LE forcé par un gouvernement de ne pas donner
> de certificat à tel ou tel site controversé par exemple…
>
> Enfin c'est un autre débat, mais ce qui se profile est à mon sens assez
> inquiétant, car on arrive à une centralisation assez extrême.
>
> Cordialement,
>
> -- bohwaz
>
Je ne vois vraiment pas ce qui dans l'évolution récente du web te donne
cette vision parano d'une évolution centralisatrice de la toile
confisquée par quelques grands :-P.
Rien que la gestion des DNS est caractéristique - avez-vous déjà essayé
de récupérer une adresse cybersquattée en .org ?
Blague à part, merci pour cette explication qui me permet de mieux
comprendre certaines évolutions récentes.
J'ai constaté par exemple que Chrome ne permettait pas d'accéder à
certains sites https lorsque les clés SHA utilisées étaient trop courtes
etc... (sous réserve de bonne compréhension de ma part, je ne suis pas
très pointu sur ce sujet).
Je croyais que c'était de la vertu, je comprends maintenant que ça
pourrait très bien etre du vice.