Le #SSL sera gratuit d’ici 2015
▻http://www.journaldunet.com/solutions/expert/59156/le-ssl-sera-gratuit-d-ici-2015.shtml
l’EFF (Electronic Frontier Foundation) annonce la gratuité du SSL pour l’été 2015.
Le #SSL sera gratuit d’ici 2015
▻http://www.journaldunet.com/solutions/expert/59156/le-ssl-sera-gratuit-d-ici-2015.shtml
l’EFF (Electronic Frontier Foundation) annonce la gratuité du SSL pour l’été 2015.
ça sonne bizarre une alliance entre Mozilla et EFF d’un côté, et Akamai et Cisco de l’autre.
Je me demande quelles sont les implications d’un usage massif de SSL. Est-ce que ça ne serait pas une façon pour les grands silos (GAFA) de s’assurer de l’identité des visiteurs et renforcer le ciblage ? En particulier, est-ce qu’utiliser HTTPS ne diminue pas l’intérêt d’utiliser TOR ?
Peut être @stephane peut nous dire si je raconte n’importe quoi :)
@severo C’est en effet n’importe quoi :-) HTTPS n’est quasiment jamais utilisé pour authentifier/identifier le client. Les sites qui fliquent leurs visiteurs le font via des techniques qui marchent en HTTP comme en HTTPS (cookies, fingerprinting, Web bugs).
Et, lorsqu’on utilise TOR, il est très recommandé de chiffrer (HTTPS pour le Web) car, sinon, le nœud TOR d’entrée et celui de sortie (qui peuvent être contrôlés par la même organisation) voient le trafic en clair.
@James C’est un titre qui est vraiment du raccourci journalistique. Il existe depuis longtemps des Autorités de Certification gratuites ►http://seenthis.net/messages/98342
Cependant, aujourd’hui :
►https://www.cacert.org me dit :
www.cacert.org utilise un certificat de sécurité invalide.
:)
@stephane Merci :)
Aucun effet négatif à cette annonce, donc ?
Et, sauf si j’ai mal compris, ►https://www.startssl.com/?lang=fr propose un certificat gratuit (pour 1 sous-domaine, je suppose) pour un an. Le renouvellement est gratuit aussi ?
@James Le navigateur ne donne pas d’avantage de détails ? Car le certificat de CAcert n’est pas invalide. C’est peut-être simplement que le certificat racine de CAcert n’est pas dans le magasin du navigateur (un problème qu’aura aussi la nouvelle AC).
On peut aussi rappeler que le titre de l’article fait allusion à un protocole, SSL, fini depuis quinze ans. HTTPS utilise TLS, pas SSL.
@severo Non, rien de négatif, mais je ne comprends pas non plus l’enthousiasme médiatique. Rien ne garantit que la nouvelle AC sera mieux acceptée (par exemple par Microsoft pour Internet Explorer) que les gratuites existantes.
Mieux vaut lire la bonne discussion sur LinuxFR ▻https://linuxfr.org/users/claudex/journaux/encryptons
Voilà comment faire grimper SeenThis dans les résultats Google : mettre enfin une configuration #HTTPS correcte !
▻http://arstechnica.com/security/2014/08/in-major-shift-google-boosts-search-rankings-of-https-protected-sites
Rappel de l’analyse de Firefox sur ►https://seenthis.net : « The certificate is not trusted because it is self-signed. The certificate is not valid for any server names. The certificate expired on 12/01/2012 16:37. The current time is 08/08/2014 08:45. »
Le problème c’est que l’on ne sait pas si les AC qui ne sont « reconnues universellement » comme CAcert auront le même impact que les Verisign & co.
@ledeuns Dans ce cas, prendre du StartSSL. Gratuit, commercial et reconnu très largement (alors que CAcert est gratuit, libre, et peu reconnu).
Je ne connaissais pas CAcert. Merci pour l’info ! Ça va me servir. Il y a un thread ici ▻http://mondedie.fr/viewtopic.php?id=5378
Les sites Web auxquels on accède avec un URL commençant par https sont sécurisés avec le protocole TLS. Pour s’assurer de l’authenticité du site, avant de commencer le chiffrement de la session, TLS se repose sur des #certificats, qui sont simplement une la partie publique d’une clé cryptographique plus la signature d’un organisme auquel on doit faire confiance. Dans le format de certificats le plus répandu, #X.509, cet organisme se nomme une #Autorité_de_Certification. Elles sont typiquement chères et n’apportent pas forcément une sécurité géniale (les forces du marché tirent les procédures de vérification vers le bas...) Une alternative est donc d’employer une Autorité de Certification gratuite, fonctionnant de manière simple et totalement automatisée, #CAcert.
►http://www.bortzmeyer.org/cacert.html
Pour SeenThis, ça serait nettement mieux que son actuel certificat auto-signé reconnu par personne. #SeenThis_TODO
Le problème de #Cacert est d’être une #Autorité_de_Certification peu reconnue et souvent absente des navigateurs ou OS courants.
Un certificat signé par une autorité non reconnue par le navigateur revient au même que de générer son propre certificat.
Cacert est sur le papier une bonne idée car on certifie via un processus horizontal (entre pairs) et non vertical (l’autorité et son client).
Si on veut un certificat qui justifie aussi le propriétaire, il faut au moins un niveau 2. Avec cacert il faut être certifié par un certains nombre de pairs et cela n’est pas automatique.
Pour un site comme linuxfr.org cela ne posera pas un gros problème dans le sens où le public principal est déjà acquis et auront déjà fait le necessaire pour reconnaître Cacert comme autorité de certification.
Pour un site grand public comme seenthis, #cacert fera aussi peur que le certificat autosigné actuel.
Surtout que les navigateurs ne reconnaissant par le certificat montreront un beau message effrayant, Firefox le premier.
Parmi les alternatives peu couteuses on peut voir aussi :
– ►http://www.namecheap.com/ssl-certificates.aspx
– ►http://www.startssl.com/?lang=fr
Dans les 2 cas on va trouver des certificats signés par des autorités reconnues par la plupart ces navigateurs tous OS confondus (smartphones inclus)
#Starssl a une particularité, assez proche de cacert, vu qu’on certifie l’entité qui gère le domaine et non le domaine directement. Le certificat est valable 2 ans.
Donc pour éviter de faire peur, pour être pratique, pour être simple aussi bien coté utilisateur que coté admin, Cacert ce n’est pas encore une bonne solution actuellement.