OVH et Gandi vendent des « certificats SSL ». Techniquement le nom est peut-être pas le bon, mais on se comprend :-)
Pouvoir envoyer le couple login/passwd de manière chiffrée sur le réseau est le minimum. Et quand on a un site tout web2.0 qui peut participer à faire chuter des régimes politiques, le chiffrement est indispensable.
Mais je sais, la sécurité est la grande oubliée du développement Internet de ces dernières années (X.509 semble le confirmer d’ailleurs)
#seenthis a déjà du SSL qui fonctionne, pas besoin que ça soit validé par une entreprise pas fiable pour que ça soit « vraiment » un « bon » certificat.
Le certificat actuel génère une erreur, les geeks s’en contentent, mais il y a bien qu’eux. En plus, c’est à moi de forcer le HTTPS. En 2011, le minimum est d’avoir HTTPS pour login/passwd.
Le pire est que je suis sûr que vous devez adhérer à l’initiative HTTPS Everywhere.
Oui l’action du formulaire de login devrait être en HTTPS.
Le certificat ne génère pas d’erreur, il génère un dialogue d’information qui demande à accepter ou refuser le certificat selon si tu lui fait confiance ou non.
Je te conseille l’extension MonkeySphere (et CertPatrol) pour Firefox pour aider ce travail de confiance (ça se base sur ton cercle de confiance GPG/PGP, bien plus fiable qu’une signature d’une entreprise qui ne vérifie rien à part que la transaction a bien été payée...).
Sinon tu peux aussi faire comme les gens un peu sérieux : effacer les certificats des entreprises « officielles » de ton navigateur/OS afin de vérifier chaque certificat, ainsi tu verra que SeenThis n’est pas différent des millions d’autres sites utilisant TLS ;)
Juste pour dire que je suis tout à fait d’accord avec @bohwaz. C’est pour cela que je pinaillais sur la différence entre TLS et X.509. TLS est très bien et SeenThis devrait l’utiliser davantage. C’est X.509 le problème.
Etant en https, en cliquant sur « Seenthis » ou « Accueil », on passe en http. #seenthis_bug @seenthis
pareil, quand on veut récupérer son mot de passe (ou vouloir en changer), on repasse en http. #seenthis_bug