Archives de la liste a​i​d​e​@p​a​h​e​k​o​.c​l​o​u​d​

HTTPS activé par défaut sur garradin.eu

BohwaZ/Garradin

12/05/2017 00:33:07

Hello à toutes-tous,

Suite à un généreux don on a pu acheter un certificat SSL pour les 
associations hébergées sur garradin.eu, qui est reconnu par tous les 
navigateurs, à la place du certificat gratuit délivré par CACert, mais 
reconnu par aucun navigateur.

Ainsi le HTTPS est désormais activé par défaut pour l'administration des 
associations hébergées sur Garradin.eu :)

Ceci empêche un espion de voler votre mot de passe sur les connexions 
wifi etc.

Cordialement.

Re: HTTPS activé par défaut sur garradin.eu

Bruno CAILLARD

12/05/2017 10:44:40

Bonjour

En certificat gratuit, il existe *Let's Encrypt* (https://letsencrypt.org/)
qui fait référence et reconnu par tous les navigateurs.

Le certif a une validité de 90jours et donc il doit être renouvelé
régulièrement. Cependant, il existe de nombreuses solutions
d'automatisation du renouvellement.

Le seul vrai manque est que l'on ne peut pas obtenir un certificat avec
validation de l'organisation.


Cordialement
Bruno

Le 12 mai 2017 à 00:32, BohwaZ/Garradin <garradin@garradin.eu> a écrit :

> Hello à toutes-tous,
>
> Suite à un généreux don on a pu acheter un certificat SSL pour les
> associations hébergées sur garradin.eu, qui est reconnu par tous les
> navigateurs, à la place du certificat gratuit délivré par CACert, mais
> reconnu par aucun navigateur.
>
> Ainsi le HTTPS est désormais activé par défaut pour l'administration
des
> associations hébergées sur Garradin.eu :)
>
> Ceci empêche un espion de voler votre mot de passe sur les connexions wifi
> etc.
>
> Cordialement.
>
> --
> . ____   / ___|  Liste d'entraide des utilisateurs de Garradin
> | |  _   http://garradin.eu/
> | |_| |
> \____|  Désinscription : http://garradin.eu/aide/
>

Re: HTTPS activé par défaut sur garradin.eu

BohwaZ/Garradin

12/05/2017 13:36:00

On Fri, 12 May 2017 10:43:54 +0200 / "Bruno CAILLARD"
<bruno.caillard@free.fr> said :

> 
> Bonjour
> 
> En certificat gratuit, il existe *Let's Encrypt*
> (https://letsencrypt.org/) qui fait référence et reconnu par tous les
> navigateurs.
> 
> Le certif a une validité de 90jours et donc il doit être renouvelé
> régulièrement. Cependant, il existe de nombreuses solutions
> d'automatisation du renouvellement.
> 
> Le seul vrai manque est que l'on ne peut pas obtenir un certificat
> avec validation de l'organisation.

Hello, le vrai manque de Let's encrypt c'est qu'ils ne font pas les
wildcards et qu'ils limitent à 100 sous-domaines par domaine.
Garradin.eu dépasse de loin cette limite (2000+ sous-domaines). Et on
ne peut pas demander un nouveau certificat à chaque fois que qqun crée
un nouveau compte de test, ça serait ingérable.

Ça fait plusieurs années que j'attends qu'ils se bougent sur ce point
mais ils refusent, donc pas le choix et obligé d'utilser un fournisseur
payant. A mon avis c'est plus une volonté de vouloir préserver le
marché des certificats payants de la part de LE…

Donc là on a un certificat pour 3 ans (40 € / an). Peut-être que dans
les 3 prochaines années LE sera plus volontaire que sur les 3 dernières
et qu'on pourra se passer de renouveler le certificat payant… On verra.

Je suis aussi assez suspicieux sur l'indépendance réelle de LE. On a vu
LE être poussé par Chrome et Firefox, puis les deux navigateurs
supprimer de leur chaîne de confiance le seul CA concurrent à LE qui
offrait des certificats gratuits (StartSSL). Maintenant on voit qu'ils
désactivent des fonctionnalités pour les sites en HTTP normal, et
Mozilla veut carrément les interdire à terme. C'est bien sympa, mais ça
donne à LE un poids énorme, car c'est le seul provider qui offre des
certificats gratuits, et utilisé par une majorité de sites. Si LE
capote, ou décide de passer à un modèle payant, on sera bloqué et
incapables de retourner à HTTP non sécurisé, et obligés de payer. C'est
une vision assez parano mais c'est un risque qui se profile… C'est
aussi le risque de voir LE forcé par un gouvernement de ne pas donner
de certificat à tel ou tel site controversé par exemple…

Enfin c'est un autre débat, mais ce qui se profile est à mon sens assez
inquiétant, car on arrive à une centralisation assez extrême.

Cordialement,

-- bohwaz

Re: HTTPS activé par défaut sur garradin.eu

centrO (Association Choeur des Centraux)

13/05/2017 05:34:38

Le 12/05/2017 à 13:35, BohwaZ/Garradin a écrit :

> C'est une vision assez parano mais c'est un risque qui se profile…
C'est
> aussi le risque de voir LE forcé par un gouvernement de ne pas donner
> de certificat à tel ou tel site controversé par exemple…
>
> Enfin c'est un autre débat, mais ce qui se profile est à mon sens assez
> inquiétant, car on arrive à une centralisation assez extrême.
>
> Cordialement,
>
> -- bohwaz
>
Je ne vois vraiment pas ce qui dans l'évolution récente du web te donne 
cette vision parano d'une évolution centralisatrice de la toile 
confisquée par quelques grands :-P.
Rien que la gestion des DNS est caractéristique - avez-vous déjà essayé 
de récupérer une adresse cybersquattée en .org ?

Blague à part, merci pour cette explication qui me permet de mieux 
comprendre certaines évolutions récentes.
J'ai constaté par exemple que Chrome ne permettait pas d'accéder à 
certains sites https lorsque les clés SHA utilisées étaient trop courtes 
etc... (sous réserve de bonne compréhension de ma part, je ne suis pas 
très pointu sur ce sujet).

Je croyais que c'était de la vertu, je comprends maintenant que ça 
pourrait très bien etre du vice.