Certificats SSL gratuits : Let's Encrypt avance bien, une bêta publique le mois prochain

Certificats SSL gratuits : Let’s Encrypt avance bien, une bêta publique le mois prochain

La bêta privée est déjà en place

Avatar de l'auteur
Vincent Hermann

Publié dans

Internet

22/10/2015 3 minutes
84

Certificats SSL gratuits : Let's Encrypt avance bien, une bêta publique le mois prochain

En novembre de l’année dernière, l’initiative Lets's Encrypt était née autour d’un concept simple et direct : permettre à tous ceux qui en avaient besoin d’obtenir des certificats SSL gratuits. Maintenant que ces derniers sont reconnus par presque tous les navigateurs, Let's Encrypt est prêt pour la bêta publique le mois prochain.

Les premières révélations d’Edward Snowden en juin 2013 ont sonné le début d’une vaste réflexion sur la sécurité informatique. Dans les mois qui ont suivi, le chiffrement a émergé comme une solution « universelle » au problème de la vie privée sacrifiée sur l’autel de la sécurité des États, un concept manifestement opposé à la dimension privée de la sphère individuelle pour bon nombre d’autorités.

En novembre 2014, une initiative a donc souhaité proposer ce que personne n’avait fait jusque-là : distribuer gratuitement des certificats de sécurité à tous ceux qui en feraient la demande. Ces certificats n’ont rien de nouveau. Ils agissent comme des cartes d’identité pour les sites web qui peuvent ainsi prouver leur identité auprès du navigateur.

Le système repose sur un équilibre délicat entre les autorités de certifications et les éditeurs de navigateurs, ces derniers devant impérativement reconnaitre le certificat pour annoncer à l’utilisateur qu’il dispose d’une connexion chiffrée.

Les certificats sont reconnus par presque tous les navigateurs

Let's Encrypt est donc un service proposé par une alliance baptisée Internet Security Research Group (ISRG). Elle regroupe des acteurs importants tels que Mozilla, l’Electronic Frontier Foundation (EFF), l’Internet Society, Akamai, Cisco ou encore Automattic. Dernièrement, un accord a surtout été signé avec l’autorité de certification IdenTrust, avec un résultat concret important : tous les certificats générés par son entremise sont reconnus par tous les principaux navigateurs.

Cela signifie dorénavant que tous les certificats émis par le service ne provoqueront pas d’erreur dans Chrome, Firefox, Internet Explorer, Edge, Safari ou encore Opera. Le site de démonstration permet d’ailleurs de prouver cette reconnaissance, les navigateurs affichent bien le précieux cadenas. La question est donc maintenant de savoir quand les intéressés pourront commencer à obtenir ces sésames. Le service est actuellement en bêta privée, mais le test public commencera dès le 16 novembre.

let's encrypt firefox certificat

Participations et dons bienvenus

L’alliance cherche également de bonnes volontés pour participer aux travaux, et ils sont encore nombreux. Les développeurs peuvent ainsi participer à la création d’un client qui servira notamment à configurer facilement les serveurs web. Les dons sont évidemment appréciés, et ceux qui n’ont ni les moyens ni les compétences en développement peuvent rejoindre les forums de la communauté pour tout ce qui touche au support technique.

Notez bien qu’une arrivée en masse du HTTPS signifiera clairement une augmentation de la sécurité. Cependant, la migration générale obéit à d’autres contraintes, comme nous l’exposions récemment. Les régies publicitaires ne suivent pas nécessairement vite cette évolution, obligeant les sites qui en dépendant à procéder par petites étapes. Dans tous les cas, l’ouverture prochaine de Let's Encrypt à tous pourrait marquer un tournant important.

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Les certificats sont reconnus par presque tous les navigateurs

Participations et dons bienvenus

Commentaires (84)


C’est une très très bonne chose !

 

A t-on une idée des types de certificats qui seront proposés (Simple, Wildcard, Multi-domaines ?) et du coup, quelle différence avec les certificats qui coûtent des milliers d’euros chez Verisign ? 


Génial. Espérons qu’ils proposeront une durée de vie des certificats assez longue. Regénérer et reconfigurer ses serveurs tous les ans avec les nouveaux certificats … pas gégé.

Le mien autosigné est valable 10 ans, ca m’évite de remettre les mains dans le cambouis tous les ans.


Les certificats tls gratuits et reconnus ça existe déjà chez startssl !

Bon tuto pour chiffrer un site web :ici


C’est nouveau ? Quelle est la différence avec les certificats gratuits de StartSSL ?


C’est quoi la nouveauté par rapport à StartSSL qui propose des certificats gratuits depuis des années?



Meilleure protection? Plus simple d’utilisation?








gogo77 a écrit :



C’est quoi la nouveauté par rapport à StartSSL qui propose des certificats gratuits depuis des années?



Meilleure protection? Plus simple d’utilisation?





Ce sont des organisations/associations dans un but de sécurité et non une entreprise à but lucratif comme startssl qui en sont à l’origine.



Les certificats ont un niveau plus élevé de ce que j’ai pus voir sur startssl (protocole tls 1.2), et il y a des scripts pour configurer son serveurs simplement et rapidement sans se faire chier avec letsencrypt.



C’est une super initiative, ça va permettre le chiffrement à tous les petits sites (et même les gros) de manière simple et efficace.



J’y verrai une utilité par rapport à StartSSL s’ils proposent des certificats Wildcard gratuits, ce que StartSSL ne propose pas. De même, la révocation d’un certificat chez StartSSL est payant.


Dire que j’en ai acheté un chez Gandi pour mon Syno y’a même pas une semaine ><








DeadEye a écrit :



J’y verrai une utilité par rapport à StartSSL s’ils proposent des certificats Wildcard gratuits, ce que StartSSL ne propose pas. De même, la révocation d’un certificat chez StartSSL est payant.





Je ne vois pas de raisons particulière à ce qu’ils n’en proposent pas. Ce genre «d’option» est basée sur du vent, il n’y a pas particulièrement d’aspect technique dans les certificats qui justifie différents forfaits et options suivant le protocole/taille de clé/nombre de domaines. Ça existe uniquement pour faire un max de fric.









marba a écrit :



Je ne vois pas de raisons particulière à ce qu’ils n’en proposent pas. Ce genre «d’option» est basée sur du vent, il n’y a pas particulièrement d’aspect technique dans les certificats qui justifie différents forfaits et options suivant le protocole/taille de clé/nombre de domaines. Ça existe uniquement pour faire un max de fric.





Je ne peux qu’approuver (;



Oui Let’s encrypt proposera des certificats qui marchent avec les sous domaines à priori…



Ce que je n’ai pas compris c’est si le déploiement de certificat sur des serveurs sur lesquels on a pas la main (de ce que j’ai compris, ils fournissent un soft qui configure le serveur), sans accès root, est possible… typiquement es-ce que ça sera déployable facilement sur un Synology ou sur un hébergement mutualisé sans accès root par exemple… J’avais posé la question y a quelques mois à Syno, ils n’avaient pas de plan d’intégrer Let’s encrypt… ça serait quand même le top pour rendre le HTTPS plug and play sur leur NAS… Si on est pleins à faire la demande, ça remontera peut-être dans leurs todolist ;-) .



D’après ce que j’ai compris, il y a bien un mode manuel qui permettra de faire ceci sur des serveurs sans accès root.


+1

Je passe actuellement par startssl, mais j’aurais tendance (peut être à&nbsp; tord, qui sait) a faire plus confiance à let’s encrypt qu’a startssl . En tout cas je ne peux que saluer l’initiative <img data-src=" /> et je me note l’url dans un coin


Oui enfin pour le coup startssl est une entreprise, c’est assez normal qu’ils cherchent à faire passer les gens sur une offre payante qui n’est pas strictement nécessaire (même si c’est vachement plus pratique le wilcard!)

Et puis les protocoles de chiffrement sont les mêmes sur l’offre gratuite et l’offre payante








marba a écrit :



Je ne vois pas de raisons particulière à ce qu’ils n’en proposent pas. Ce genre «d’option» est basée sur du vent, il n’y a pas particulièrement d’aspect technique dans les certificats qui justifie différents forfaits et options suivant le protocole/taille de clé/nombre de domaines. Ça existe uniquement pour faire un max de fric.







Le prix des certificats c’est surtout une question d’assurance derrière.



Le but de Let’s Encrypt n’est pas uniquement la gratuité. C’est aussi la simplicité de mise en place. <img data-src=" />








alegui a écrit :



Oui enfin pour le coup startssl est une entreprise, c’est assez normal qu’ils cherchent à faire passer les gens sur une offre payante qui n’est pas strictement nécessaire (même si c’est vachement plus pratique le wilcard!)

Et puis les protocoles de chiffrement sont les mêmes sur l’offre gratuite et l’offre payante





J’entends bien, mais la sécurité ne devrait pas être en kit et ne devrait pas être une affaire d’argent (je reproche rien à startssl), d’où l’initiative letsencrypt de mozilla/cisco.



&nbsp;





CryoGen a écrit :



Le prix des certificats c’est surtout une question d’assurance derrière.





À ce prix là, il faut bien qu’ils offrent quelque chose ! <img data-src=" />



Sinon j’aimerai bien savoir ce que ce genre d’assurance couvre concrètement ?



Non mais allo!&nbsp;Cherchez ou se trouve les serveurs de&nbsp;letsencrypt.org…&nbsp;&nbsp;



Bingo, c’est au USA que ça se trouve… à Boston… la NSA aura donc accès à tout!!&nbsp;Quand le service est gratuit, c’est que c’est vous le produit!!!!!


Quand je lis leur procédure, je ne suis pas fan à l’idée de devoir utiliser un binaire pour gérer ça.

Cela dit, le client est open source, donc ils pourront difficilement y faire entrer des cochonneries.



Yapluka voir quels retours ils auront, peut être que ce sera une solution intéressante quand on voit les coûts exorbitants des certificats dès qu’on veut avoir un sous domaine… <img data-src=" />


Quand tu envoies&nbsp; ta requête,&nbsp; c’est juste (entre autre) la clé publique et ça la NSA comme la terre entière l’a déjà.








Leixia a écrit :



Dire que j’en ai acheté un chez Gandi pour mon Syno y’a même pas une semaine &gt;&lt;





T’inquiète, c’est pas encore sorti, c’est en Beta fermée. Avant que ce soit ouvert en version publique finale, ton certificat te sera utile.









marba a écrit :



Je ne vois pas de raisons particulière à ce qu’ils n’en proposent pas. Ce genre «d’option» est basée sur du vent, il n’y a pas particulièrement d’aspect technique dans les certificats qui justifie différents forfaits et options suivant le protocole/taille de clé/nombre de domaines. Ça existe uniquement pour faire un max de fric.



Tout comme l’achat d’un nom de domaine payable tous les ans.









Colthus a écrit :



Quand tu envoies&nbsp; ta requête,&nbsp; c’est juste (entre autre) la clé publique et ça la NSA comme la terre entière l’a déjà.





Les serveur sont au USA, donc la NSA à accès a TOUT!









bobdu87 a écrit :



Non mais allo!&nbsp;Cherchez ou se trouve les serveurs de&nbsp;letsencrypt.org…&nbsp;&nbsp;




 Bingo, c'est au USA que ça se trouve... à Boston... la NSA aura donc accès à tout!!&nbsp;Quand le service est gratuit, c'est que c'est vous le produit!!!!!







JVachez, on t’a reconnu…









bobdu87 a écrit :



Les serveur sont au USA, donc la NSA à accès a TOUT!





Pitié….









Ricard a écrit :



JVachez, on t’a reconnu…





IE ne tourne sur aucun des mes 2 os…&nbsp;<img data-src=" />









bobdu87 a écrit :



Les serveur sont au USA, donc la NSA à accès a TOUT!





&nbsp;Can’t tell if you’re trolling or serious.



j’aurais préféré une reconnaissance de cacert comme autorité racine de confiance plutôt qu’une énième entité louche pour les certificats…


Pour reprendre un exemple déjà cité plus haut, chez StartSSL, tu peux avoir gratuitement un certificat pour un sous-domaine.



Par contre, en restant sur l’offre gratuite, c’est un nouveau certificat à éditer pour chaque sous-domaine, même sur le même domaine. Si tu en gères un grand nombre, ça peut être embêtant ; si tu n’en as que quelques-uns, c’est juste quelques lignes de codes à répéter à chaque renouvellement de certificat.








Ricard a écrit :



Tout comme l’achat d’un nom de domaine payable tous les ans.





A la rigueur le fait de payer&nbsp;le nom de domaine peut se justifier par le fait&nbsp;qu’il s’agit d’une ressource limitée : deux personnes ne peuvent pas utiliser le même nom de domaine, si c’était gratuit tout le monde se mettrait à enregistrer à tour de bras des noms de domaine&nbsp;et plus aucun nom de domaine de moins de 50 caractères serait dispo pour les nouveaux sites… Je crois aussi savoir que ça permet de financer les serveurs DNS root qui nécessitent une infrastructure assez robuste (suffisamment puissante pour encaisser les attaques DDoS, etc.). Bon on est d’accord qu’ils se font une bonne marge, mais le caractère payant se justifie.



Pour les certificats SSL en revanche n’importe qui est capable de générer son propre certificat chez soi, mais si on fout un certificat SSL autogénéré sur son site la majorité des navigateurs vont afficher au visiteur un message d’avertissement bien anxiogène ce qui en pratique force à passer à la caisse auprès d’une autorité de certification reconnue par les développeurs des navigateurs.



Ca n’a choqué personne ? Un certificat de 10 ans ne sert à rien. Chiffrement faible pour la signature au bout d’un temps.



De plus la configuration HTTPS peut ne pas être Secure du tout (SSLv3, RC4, …) ou meme utiliser des NULL ciphers et donc pas dencryption du tout pourtant avec le cadenas…



Encore du chemin à parcourir.


Le client permet un renouvellement automatique un peu avant l’arrivée à expiration, tu n’as à peu près rien à y faire.


Mes certificats sont achetés chez Namecheap (SSL Comodo pour les miens) et ça me convient.

Je suivais Let’s Encrypt depuis longtemps mais le besoin était pressant.


Pour le moment, les wildcards ne sont pas prévus. Par contre, autant de sous-domaines ou de domaines que tu le souhaites. La révocation est ici gratuite.


C’est gratuit même pour une entreprise ?








Pr. Thibault a écrit :



A la rigueur le fait de payer&nbsp;le nom de domaine peut se justifier par le fait&nbsp;qu’il s’agit d’une ressource limitée : deux personnes ne peuvent pas utiliser le même nom de domaine, si c’était gratuit tout le monde se mettrait à enregistrer à tour de bras des noms de domaine&nbsp;et plus aucun nom de domaine de moins de 50 caractères serait dispo pour les nouveaux sites… Je crois aussi savoir que ça permet de financer les serveurs DNS root qui nécessitent une infrastructure assez robuste (suffisamment puissante pour encaisser les attaques DDoS, etc.). Bon on est d’accord qu’ils se font une bonne marge, mais le caractère payant se justifie.



Comme je l’ai dit, payer oui, mais tous les ans, c’est de escroquerie pure et simple. <img data-src=" />



Et donc ? C’est suffisant pour certains type de communication, l’emplacement physique des serveurs n’a aucune importance mon coco. En outre, la NSA en est à casser des tunnels VPN sans pression (comprendre sans forcer dans la langue du ghetto), alors que ton serveur de certif soit sur la lune, mars, au fond de la forêt amazonienne ils s’en foutent, ils font de l’interception.



C’est largement suffisant pour se prémunir des groupes de hackers, parce que franchement ils m’inquiètent bien plus que la NSA, le CGHQ, ou les renseignements russe, chinois etc.


outre que c’est une mauvaise pratique (tu te traines sûrement du RC4 et autres vieilleries de MD5) qu’est-ce qui se passe quand ton certificat se retrouve dans la nature ? t’attends 10 ans qu’il soit invalide avant d’être sûr que le détenteur ne peux plus s’en servir ?


Merd, je dois renew mon wildcard le 4 :/ Du coup c’est tentant de passer provisoirement sur des monodomaines gratuits chez StartSSL et de garder les 42€ pour faire un don à Let’s Encrypt


Avant HTTPS:



Mon vrai nom est Barack Obama





Après HTTPS:



Mon vrai nom est Barack Obama



(
) Déclaration authentique vérifiée par TrustMeForFree





HTTPS, la révolution en matière de sécurité.


Si TU ne sais pas utiliser des finderprint c’est TON problème. Par contre évite de dire que le fait que personne ne les vérifie rend le système peu fiables pour ceux qui savent l’utiliser … :p


La différence fondamentale supposée : la récupération a posteriori des clés ou la révocation d’un certificat seront bien des services gratuits (contrairement à StartSSL où il ne faut surtout pas faire d’erreur lors de la création… et ne rien oublier !).



Cela dit, avec ce genre de tuto :&nbsphttp://furie.be/news/33/15/Synology-Utiliser-une-connexion-SSL-certifiee.html

On s’en sort pas trop mal !








bobdu87 a écrit :



Non mais allo!&nbsp;Cherchez ou se trouve les serveurs de&nbsp;letsencrypt.org…&nbsp;&nbsp;




   Bingo, c'est au USA que ça se trouve... à Boston... la NSA aura donc accès à tout!!&nbsp;Quand le service est gratuit, c'est que c'est vous le produit!!!!!








Visiblement, vous ne savez pas qui est L'Electronic Frontier Fondation ni ce que'elle fait, ni pour quoi elle se bat, ni qu'elle est l'initiatrice de letsencrypt. Vous nesavez pas non plus lire l'article.     





Vous savez par contre répéter à mauvais escient des formules toutes faites pour jouer les r3b3lz. Quelle misère.



Kikoulol spotted.



cool je vais enfin avoir un certificat ssl signé sur ma seedbox :3


Bon je passe après la bataille, mais on dit certificat X.509 !! <img data-src=" /> image de Cartman faisant &gt;&lt;



Je suis curieux de voir si les certificats seront bien reconnus sur d’autres services que HTTP. Typiquement pour du SMTP, où c’est encore plus la fête du slip que sur le Web <img data-src=" />


Pas trop motivé par l’offre de StartSSL… J’avais trouvé le site bordélique et le détail de l’offre pas méga clair à l’époque où j’ai regardé.



Pour l’instant j’en garde un chez Gandi à 12€/an, mais pas de sous domaine.









Pr. Thibault a écrit :



Pour les certificats SSL en revanche n’importe qui est capable de générer son propre certificat chez soi, mais si on fout un certificat SSL autogénéré sur son site la majorité des navigateurs vont afficher au visiteur un message d’avertissement bien anxiogène ce qui en pratique force à passer à la caisse auprès d’une autorité de certification reconnue par les développeurs des navigateurs.







C’est ça qui est chiant, car perso je peux très bien le gérer moi-même. Mais les navigateurs veulent de plus en plus le bloquer, c’est chiant.

Je rejoins un peu ce discours en fait :http://www.toile-libre.org/fr/certficats-ssl-self-signed



Moi ce qui me chagrine avec les certificats reconnus et gratuits c’est que souvent l’authenticité du demandeur n’est pas vérifiée. Du coup, il est possible de faire un certificat pour un site de fishing.



Parmi les personnes navigant sur internet, combien vérifient que le certificat a été émis par la bonne autorité et au bon site? La plupart des personnes font confiance au petit cadenas du navigateur…



Quand vous êtes connecté sur google, vous regardez que le certificat est bien émis par GeoTrust et non pas par StartSSL ou une autre autorité?



A côté de ça, je trouve que c’est super de pouvoir posséder un certificat pour son petit serveur ou son site web…



La sécurité c’est jamais simple…


Quand tu payes aussi, ils ne vérifient pas grand chose (un exemple récent.) Sans parler des attaques gouvernementales (le cas icloud.com en Chine par exemple. D’ailleurs les navigateurs font tous confiance par défaut à l’autorité de certif’ officielle chinoise…)


Une certification que j’aime bien c’est celle où votre clef privé est chez vous et pas chez un prestataire. Vous ne savez pas ce que le prestataire peut faire avec (par exemple là vendre à une société pour qu’il puisse lire vos données).

C’est comme le chiffrement de données proposé par Google / Microsoft / Apple sur leur cloud alors que c’est eux qui possède la clef de déchiffrement donc ils peuvent tout lire sans problème.


Ca sert avant tout à chiffrer les échanges.

Pour vérifier l’authenticité il existe des certificats plus “efficaces” (et plus chers).


Ce certificat gratuit n’aura clairement pas le même poids et ne donnera pas les même garanties que des certificats que tu payes plus cher.



Sur des Certificats plus haut de gamme tu vas devoir prouver ton identité, elle sera en générale vérifiée manuellement et l’émetteur du certificat s’engage en plus sur des garanties financière.



Tout ça Let’s Encrypt ne peut pas le faire. Il fonctionne sur un système automatisé et peu couteux pour permettre de proposer des certifs gratos.



Du coup oui ce n’est pas LE certificat qui fait le café, mais c’est déjà une bonne chose pour tout ceux qui veulent ajouter un peu de sécurité sur leur site.



Et j’ai vu un commentaire plus haut. Pour l’instant il n’est visiblement pas prévu de Wildcard. Ils partent du principe que tu pourras générer des certificats dans la seconde et donc que tu pourras générer un certificat unique pour chaque domaine et sous domaine.


chez CACERT tout ça est gratuit et bien plus fiable. mais ce n’est pas reconnu comme autorité racine de confiance parce que… oui tiens pourquoi? un système plus ou moins bénévole qui vérifie plusieurs fois et manuellement l’identité d’une personne c’est quand même vachement pas fiable!!! <img data-src=" />


J’avais entendu je ne sais plus où que la non reconnaissance de CaCert était du au fait que le bâtiment hébergeant le support de stockage de la clé privée de l’AC n’était pas assez sécurisé (par sécurisé, il faut entendre “résister à la chute d’un avion de ligne”)



Mais de toutes façons, un système qui propose de boire des bières ensemble au lieu de faire payer, c’est bien connu que ce n’est pas fiable <img data-src=" />


Moi j’ai rien à cacher à la Nsa, et de plus le protocole SHA d’après toi qui l’a inventé


Dans le cas de Let’s Encrypt, la clé privée est géré par tes soins.


oui, on en avait déjà parlé je crois et je ne peux pas m’empêcher de penser au mot bullshit concernant cette condition… mais bon, heureusement l’installation d’une autorité racine n’est pas non plus une chose infaisable à la main. et aussi plus fiable que de faire confiance aveuglément à une centaine de sociétés qui ont résidence quasi permanente dans nos navigateurs…


Rien à voir avec la news mais juste pour dire que je trouve que ça fait vraiment cheap les images avec du binaire et du texte en plein milieu surtout pour un site d’informatique.

&nbsp;

Je me suis déjà fait la réflexion hier sur une autre news, il fallait que je vous le dise.


Ah, je savais bien que j’en avais causé récemment dans les parages, mais je ne me souvenais plus avec qui <img data-src=" />


C’est pas le cas de tous les fournisseurs de certificats???








John Shaft a écrit :



Dans le cas de Let’s Encrypt, la clé privée est géré par tes soins.





et leur private key à let’s encrypt, elle est coulée dans du béton dans la Mystic River? <img data-src=" />



hum hum , tu as une drôle d’approche de la sécurité. et je suppose que tes clés privées tu les séquestres dans un répertoire en claire sur ton serveur web :)








millcaj a écrit :



Visiblement, vous ne savez pas qui est L’Electronic Frontier Fondation ni ce que’elle fait, ni pour quoi elle se bat, ni qu’elle est l’initiatrice de letsencrypt. Vous nesavez pas non plus lire l’article.




  Vous savez par contre répéter à mauvais escient des formules toutes faites pour jouer les r3b3lz. Quelle misère.      






Kikoulol spotted.









Justement ici malheureusement le Kikoulol je pense que c’est toi.



&nbsp;Son but ou ses idéaux&nbsp; ne change rien, tout serveur situé au états unis doit pouvoir être consulté par le gouvernement. (Patriot Act) C’est pour cela qu’OVH s’est installé au Canada et non USA. Il y a eu une polémique la dessus à l’époque.

http://www.numerama.com/f/113376-t-ovh-va-s39agrandir-aux-usa-et-quid-du-patriot…



Wikipedia §3:

&nbsp;https://fr.wikipedia.org/wiki/USA_PATRIOT_Act

&nbsp;

&nbsp;





yep a écrit :



Moi ce qui me chagrine avec les certificats reconnus et gratuits c’est que souvent l’authenticité du demandeur n’est pas vérifiée. Du coup, il est possible de faire un certificat pour un site de fishing.




Parmi les personnes navigant sur internet, combien vérifient que le certificat a été émis par la bonne autorité et au bon site? La plupart des personnes font confiance au petit cadenas du navigateur...      






Quand vous êtes connecté sur google, vous regardez que le certificat est bien émis par GeoTrust et non pas par StartSSL ou une autre autorité?      






A côté de ça, je trouve que c'est super de pouvoir posséder un certificat pour son petit serveur ou son site web...      






La sécurité c'est jamais simple...







Pour la vérification “sur le bon site” cela fonctionne automatiquement. En tout cas sous Firefox. J’en ai fait l’expérience il y a quelque mois, j’ai été victime d’un DNS poisoning (mon ISP ou OVH), automatiquement Firefox m’a averti que le certificat ne correspondait pas au site. Vérifies tu tes 4 pneus avant chaque démarrage en voiture ?




Tu n'as jamais acheté un certificat SSL chez StartSSL, ils vérifient toutes tes données, tu dois fournir des preuves de ton adresse, de ton existence et ils te téléphonent également pour vérification.     



60 € / 2 ans pour un Wildcard, c’est pas très cher.

&nbsp;

D’autant plus qu’en fait le Wildcard est gratuit, c’est la vérification d’identité (valable 2 ans) qui est payante. Ce qui est normal, il y a quelqu’un qui prend le temps de tout vérifier.

Seuls les certificats de class 1 ne sont pas vérifiés chez Startssl, les class 2 et plus sont vérifiés.



&nbsp;





Ricard a écrit :



Comme je l’ai dit, payer oui, mais tous les ans, c’est de escroquerie pure et simple. <img data-src=" />






Pour les noms de domaine c'est pareil, ce n'est pas très cher (7€ HTVA/an pour un .fr) :     




  1. Il faut faire la procédure d’enregistrement. (Chez le gérant du TLD)

  2. Il faut faire le suivi (expiration, mise en quarantaine, …)

  3. Il faut gérer le serveur qui gère le GLUE record (prix du serveur + entretien + electricité + mains d’oeuvre)



  4. Éventuellement il faut également répondre à toute les requêtes de

    demande de nom. (cela est souvent gratuit, mais peut être fait sur son

    propre serveur ou par un tier)

    &nbsp;

    Tout le monde le sait, tout est gratuit dans la vie… D’ailleurs vous travaillez sûrement tous gratuitement, ou alors vous ne travaillez simplement pas encore (ou pas du tout).



<img data-src=" />



Mais le commentaire auquel je répondais laisser entendre le contraire (ou j’ai mal lu)


Mozilla a des $$$



<img data-src=" />


doublon


La question c’est : et même si Let’s encrypt donne toutes ses données à la NSA, ils vont faire quoi avec qu’il ne pouvaient pas faire avec n’importe quelle autre autorité de certification?


A partir du moment ou tu passes par un tier tu es dans la même situation possible de toute façon.


Demande leurs pourquoi.








Zerdligham a écrit :



La question c’est : et même si Let’s encrypt donne toutes ses données à la NSA, ils vont faire quoi avec qu’il ne pouvaient pas faire avec n’importe quelle autre autorité de certification?





Je dis juste que rien n’est vraiment secret. Il ne faut pas croire qu’en chiffrant tout en SSL via certificat on est anonyme ou nos données sont protégées. Comme veut le soutenir cette association. Si vous avez la clé de chiffrement, l’émetteur du certificat l’a aussi, ainsi que le hébergeur du serveur (accès root + accès physique), ainsi que l’état (USA par exemple) dans lequel se trouve les serveurs: le vôtre mais également celui qui a émis le certificat.



Pour info, StartSSL est une société située en Israël.



Au niveau sécurité, cela ne change (pratiquement) rien que letsencrypt soit aux US.

Il y a déjà plein d’autres CA qui se trouvent là-bas, et il suffit qu’un seul d’entre eux soit dans la poche de la NSA (ce qui est probablement déjà le cas) pour qu’ils puissent générer des faux certificats&nbsp; pour n’importe quel domaine.

En fait, même si letsencrypt était situé en Suisse, la NSA pourrait toujours utiliser un faux certificat via un CA américain qui serait accepté par tout le monde (tant que tous les navigateurs font confiance aux CA américains bien sûr).








hl-tron a écrit :



Si vous avez la clé de chiffrement, l’émetteur du certificat l’a aussi, ainsi que le hébergeur du serveur (accès root + accès physique), ainsi que l’état (USA par exemple) dans lequel se trouve les serveurs: le vôtre mais également celui qui a émis le certificat.





Non pour les parties en gras. La clé privée n’est jamais envoyée à l’autorité de certification, celle-ci ne fait que signer la partie publique de la clé. Si une autorité de certification te demande ta clé privée, je te recommande chaudement de la fuir.

Oui pour l’hébergeur du serveur, mais si c’est moi, j’ai tendance à me faire confiance (pour l’absence de coopérations avec la NSA en tout cas, les compétences techniques c’est autre chose <img data-src=" />).









bobdu87 a écrit :



Les serveur sont au USA, donc la NSA à accès a TOUT!



&nbsp;<img data-src=" />



Game Bob je t’ai reconnu… “c’est une arnaque!”&nbsp;https://www.youtube.com/watch?v=eV3XmhO51QM&nbsp;



il semblerait (selon leur wiki) qu’il ne passent pas leur propre audit interne et externe. et comme c’est une petite communauté de bénévoles, ça prend un temps infini pour faire les audits.








geekounet85 a écrit :



il semblerait (selon leur wiki) qu’il ne passent pas leur propre audit interne et externe. et comme c’est une petite communauté de bénévoles, ça prend un temps infini pour faire les audits.





Du coup tu as ta réponse. <img data-src=" />









Zerdligham a écrit :



Non pour les parties en gras. La clé privée n’est jamais envoyée à l’autorité de certification, celle-ci ne fait que signer la partie publique de la clé. Si une autorité de certification te demande ta clé privée, je te recommande chaudement de la fuir.

Oui pour l’hébergeur du serveur, mais si c’est moi, j’ai tendance à me faire confiance (pour l’absence de coopérations avec la NSA en tout cas, les compétences techniques c’est autre chose <img data-src=" />).





Tu as raison au temps pour moi ;)









Symen a écrit :



Au niveau sécurité, cela ne change (pratiquement) rien que letsencrypt soit aux US.

Il y a déjà plein d’autres CA qui se trouvent là-bas, et il suffit qu’un seul d’entre eux soit dans la poche de la NSA (ce qui est probablement déjà le cas) pour qu’ils puissent générer des faux certificats  pour n’importe quel domaine.

En fait, même si letsencrypt était situé en Suisse, la NSA pourrait toujours utiliser un faux certificat via un CA américain qui serait accepté par tout le monde (tant que tous les navigateurs font confiance aux CA américains bien sûr).







Pour une vrai sécurité avec le système actuel il faudrait revoir le fonctionnement complet des CA c’est sur…



Je pense qu’il faudrait une autorité centrale et unique du type letsencrypt (non lucratif gérée par l’ONU par ex) avec un système de triangulation : un serveur en Russie, USA, Chine, France, Islande (par exemple) et chaque certificat devrait être signé chez tous les serveurs, le navigateur vérifierai alors que le certificat est bien conforme auprès de tous les serveurs. Avec des interet et des juridiction complétements différentes les États ne pourraient pas emmètre des certificats bidon sans se faire grillé par une autre puissance adverse.

Il faudrait bien sur virer absolument toutes les autres CA des navigateurs.



S’il y a un domaine où tous les états sont d’accord, et ou la coopération entre états fonctionne à plein tube, c’est bien l’espionnage des citoyens <img data-src=" />








hl-tron a écrit :



&nbsp;



 Pour les noms de domaine c'est pareil, ce n'est pas très cher (7€ HTVA/an pour un .fr) :      

1. Il faut faire la procédure d'enregistrement. (Chez le gérant du TLD)

2. Il faut faire le suivi (expiration, mise en quarantaine, ...)

3. Il faut gérer le serveur qui gère le GLUE record (prix du serveur + entretien + electricité + mains d'oeuvre)

4.

Éventuellement il faut également répondre à toute les requêtes de

demande de nom. (cela est souvent gratuit, mais peut être fait sur son

propre serveur ou par un tier)

&nbsp;

Tout le monde le sait, tout est gratuit dans la vie... D'ailleurs vous travaillez sûrement tous gratuitement, ou alors vous ne travaillez simplement pas encore (ou pas du tout).







Je me demande bien comment ils font pour les .tk que j’utilise depuis plusieurs années… <img data-src=" />



Ai-je dis ça ?

Non pas du tout.


Un truc pas mal pour les petits besoins (par certificats autosigné) ca serait de pouvoir exploiter le DNS comme “source” de validation/comparaison, un peu comme le DKIM.








Ricard a écrit :



Je me demande bien comment ils font pour les .tk que j’utilise depuis plusieurs années… <img data-src=" />







Apparemment, ils font du raquet. Dès que tu as du trafic sur ton site internet ils te forcent à payer.

http://www.free-installations.info/threads/dont-use-free-tk-domain-names.2088/

http://community.mybb.com/thread-114537.html

http://tk-domain-big-scam.blogspot.be/2012/09/dottk-is-giant-scam.html

&nbsp;

Ou pire, n’importe qui peut acheter ton domaine.

http://www.techelex.org/why-not-use-dot-tk-domain/

&nbsp;

Ou encore ils te l’effacent sans raison:

https://www.quora.com/Dot-tk-just-deleted-all-my-domains-is-that-legal



Bref pas pour une utilisation professionnelle.









hl-tron a écrit :



Apparemment, ils font du raquet. Dès que tu as du trafic sur ton site internet ils te forcent à payer.

http://www.free-installations.info/threads/dont-use-free-tk-domain-names.2088/

http://community.mybb.com/thread-114537.html

http://tk-domain-big-scam.blogspot.be/2012/09/dottk-is-giant-scam.html

&nbsp;

Ou pire, n’importe qui peut acheter ton domaine.

http://www.techelex.org/why-not-use-dot-tk-domain/

&nbsp;

Ou encore ils te l’effacent sans raison:

https://www.quora.com/Dot-tk-just-deleted-all-my-domains-is-that-legal



Bref pas pour une utilisation professionnelle.





Jamais eu de problème perso. <img data-src=" />



Intéressant. Si je remonte un serveur WEB/FTP/Mail (surtout ce dernier), ça risque fort de m’être utile dans le cas de webmail.








Leixia a écrit :



Dire que j’en ai acheté un chez Gandi pour mon Syno y’a même pas une semaine &gt;&lt;





Pour ton propre Syno ? Tu as besoin d’une autorité tierce pour te faire confiance à toi même ? (Je plaisante, je suppose que tu en as une utilité particulière :)



En fait je force les connexions en https, sauf que la famille ou les amis qui se connectent régulièrement à photo station&nbsp;pour voir les photos du gamin&nbsp;ou parfois à DSM pour télécharger deux/trois trucs, prennent (très) peur quand ils voient l’erreur de certificat (avec le blabla sur le piratage) surtout qu’il faut faire&nbsp;avancé, accepter malgré les risques etc.




Plutôt que de leur expliquer 50 fois, je préfère qu'ils n'aient pas d'erreur de certificat et un jolis cadenas vert&nbsp;<img data-src=">  

&nbsp;

En plus je regarde jamais si mon certificat est bien le mien quand je me connecte alors que je pourrais être très bien victime d'une attaque man in the middle :p





Bon après ça m’a coûté 30€ pour 3 ans, c’est correct.