bonjour, que penser vous du projet let's encrypt est suffisant pour sécurisé un site web sur lequel transit certaine information confidentiel? cordialement
Bonjour, C'est presque un débat troll :) De mon humble expérience, je reste assez sceptique sur ce projet (qui était pourtant prometteur !). Beaucoup de virus/malware se déploient maintenant en HTTPS avec des certificats Let's Encrypt, pour pouvoir tromper l'utilisateur peu averti (bah oui, "j'ai un cadenas sur la page, donc c'est un site légitime" ...). Je me demande donc si d'ici quelques mois, on ne va pas avoir des logiciels de sécurité qui donnent des "malus" ou bloquent tous les certificats issus de cette autorité (mais je suis peut être trop pessimiste). Ensuite, les certificats Let's Encrypt sont limités à 3 mois, donc il est obligatoire de passer par leur déploiement/MAJ automatique (aucun sysadmin n'acceptera de mettre à jour un certificat chaque trimestre). Si ton contenu est vraiment confidentiel et important, je pense que tu n'es pas à 11€ près, ce qui est le prix d'un certificat de base chez n'importe quel fournisseur potable. Olivier Le 12 avril 2016 à 11:01, ay pierre <aypierre07@gmail.com> a écrit :
bonjour,
que penser vous du projet let's encrypt est suffisant pour sécurisé un site web sur lequel transit certaine information confidentiel?
cordialement _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
non je suis pas 11 € le debat etait ce projet est il prometteur ou pas :) Le 12 avril 2016 à 11:14, Olivier Doucet <webmaster@ajeux.com> a écrit :
Bonjour,
C'est presque un débat troll :) De mon humble expérience, je reste assez sceptique sur ce projet (qui était pourtant prometteur !).
Beaucoup de virus/malware se déploient maintenant en HTTPS avec des certificats Let's Encrypt, pour pouvoir tromper l'utilisateur peu averti (bah oui, "j'ai un cadenas sur la page, donc c'est un site légitime" ...). Je me demande donc si d'ici quelques mois, on ne va pas avoir des logiciels de sécurité qui donnent des "malus" ou bloquent tous les certificats issus de cette autorité (mais je suis peut être trop pessimiste).
Ensuite, les certificats Let's Encrypt sont limités à 3 mois, donc il est obligatoire de passer par leur déploiement/MAJ automatique (aucun sysadmin n'acceptera de mettre à jour un certificat chaque trimestre).
Si ton contenu est vraiment confidentiel et important, je pense que tu n'es pas à 11€ près, ce qui est le prix d'un certificat de base chez n'importe quel fournisseur potable.
Olivier
Le 12 avril 2016 à 11:01, ay pierre <aypierre07@gmail.com> a écrit :
bonjour,
que penser vous du projet let's encrypt est suffisant pour sécurisé un site web sur lequel transit certaine information confidentiel?
cordialement _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Le 12/04/2016 11:15, ay pierre a écrit :
non je suis pas 11 € le debat etait ce projet est il prometteur ou pas :)
Oui et non... Oui car cela permettra de sécuriser les transactions HTTP, non pour la raison qu'Olivier a évoqué. D'autres raisons pourrait être aussi la pénalité du SEO sur des certifs a TTL courte... Ce n'est pas officiel mais il parait que Google favorise : - les sites en SSL - les sites SSL dont la durée de vie est longue (<= 3 ans) - les sites dont le certif est EV Donc pour une société qui va faire du biz (ecommerce par exemple) je pense que c'est plutôt a proscrire. Pierre.
Google est quand même Major Sponsors via Chrome de Let's Encrypt. On peut supposer qu'ils ne vont pas plomber le projet. Julien Le 12/04/2016 11:19, Pierre DOLIDON a écrit :
Le 12/04/2016 11:15, ay pierre a écrit :
non je suis pas 11 € le debat etait ce projet est il prometteur ou pas :)
Oui et non...
Oui car cela permettra de sécuriser les transactions HTTP, non pour la raison qu'Olivier a évoqué. D'autres raisons pourrait être aussi la pénalité du SEO sur des certifs a TTL courte... Ce n'est pas officiel mais il parait que Google favorise : - les sites en SSL - les sites SSL dont la durée de vie est longue (<= 3 ans) - les sites dont le certif est EV
Donc pour une société qui va faire du biz (ecommerce par exemple) je pense que c'est plutôt a proscrire.
Pierre. _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
On Tue Apr 12 11:19:46 2016, Pierre DOLIDON wrote:
D'autres raisons pourrait être aussi la pénalité du SEO sur des certifs a TTL courte... Ce n'est pas officiel mais il parait que Google favorise : - les sites en SSL - les sites SSL dont la durée de vie est longue (<= 3 ans) - les sites dont le certif est EV
Matin, Tu es sûr pour la durée de vie à trois ans ? Ça me semble bien long pour un certificat SSL. -- alarig
Bonjour, On Tue, Apr 12, 2016 at 11:47:28AM +0200, Alarig Le Lay wrote:
On Tue Apr 12 11:19:46 2016, Pierre DOLIDON wrote:
D'autres raisons pourrait être aussi la pénalité du SEO sur des certifs a TTL courte... Ce n'est pas officiel mais il parait que Google favorise : - les sites en SSL - les sites SSL dont la durée de vie est longue (<= 3 ans) - les sites dont le certif est EV
Matin,
Tu es sûr pour la durée de vie à trois ans ? Ça me semble bien long pour un certificat SSL.
Oui, en général les CA acceptent 1~3 ans. Par exemple: https://www.globalsign.com/en/ssl/domain-ssl/ Sylvain
j'ai marqué "il parait que". mais sinon, 3ans pour une société stable, non ce n'est pas long du tout. Après, n'importe quelle CA te permet de régénérer ton certif en cas de pépin (clé privée perdue, failles comme poodle, etc.), donc pas de problèmes a avoir de ce côté. Le 12/04/2016 11:47, Alarig Le Lay a écrit :
On Tue Apr 12 11:19:46 2016, Pierre DOLIDON wrote:
D'autres raisons pourrait être aussi la pénalité du SEO sur des certifs a TTL courte... Ce n'est pas officiel mais il parait que Google favorise : - les sites en SSL - les sites SSL dont la durée de vie est longue (<= 3 ans) - les sites dont le certif est EV Matin,
Tu es sûr pour la durée de vie à trois ans ? Ça me semble bien long pour un certificat SSL.
_______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Le 12/04/2016 11:14, Olivier Doucet a écrit :
Bonjour,
C'est presque un débat troll :) De mon humble expérience, je reste assez sceptique sur ce projet (qui était pourtant prometteur !).
Beaucoup de virus/malware se déploient maintenant en HTTPS avec des certificats Let's Encrypt, pour pouvoir tromper l'utilisateur peu averti (bah oui, "j'ai un cadenas sur la page, donc c'est un site légitime" ...). Je me demande donc si d'ici quelques mois, on ne va pas avoir des logiciels de sécurité qui donnent des "malus" ou bloquent tous les certificats issus de cette autorité (mais je suis peut être trop pessimiste).
Je ne suis pas d’accord ! Ton certificat va principalement vérifier si tu contact le bon nom de domaine pour détecter les attaques mitm (man in the middle) . Donc virus ou pas virus, c'est à l'utilisateur de vérifier le nom de domaine dans la barre d'adresse. Les pirates n'ont pas attendue let's encrypt ... Ils peuvent acheter un nom de domaine creditmutuell.fr et un certificat a 11€ qui va avec pour avoir un jolie cadenas et bluffer l'utilisateur Mes utilisateurs doivent Apprendre à lire une URL : http://framablog.org/2016/01/08/apprenez-a-lire-une-url-et-sauvez-des-chaton... Le top en certificat reste le certificat où l'organisation est vérifier et où le certificat a une garantie financière... Simon
Ensuite, les certificats Let's Encrypt sont limités à 3 mois, donc il est obligatoire de passer par leur déploiement/MAJ automatique (aucun sysadmin n'acceptera de mettre à jour un certificat chaque trimestre).
Si ton contenu est vraiment confidentiel et important, je pense que tu n'es pas à 11€ près, ce qui est le prix d'un certificat de base chez n'importe quel fournisseur potable.
Olivier
Le 12 avril 2016 à 11:01, ay pierre <aypierre07@gmail.com <mailto:aypierre07@gmail.com>> a écrit :
bonjour,
que penser vous du projet let's encrypt est suffisant pour sécurisé un site web sur lequel transit certaine information confidentiel?
cordialement _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
_______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
-- Collège Privé Ste Marie <https://www.stemarie-aizenay.fr> Fonteneau Simon / Administrateur Réseaux sfonteneau@stemarie-aizenay.fr <mailto:sfonteneau@stemarie-aizenay.fr>/ 0648761484 Collège Privé Ste Marie Tel: 0251946200 / Fax: 0251946856 24 route de Nantes 85190 Aizenay https://www.stemarie-aizenay.fr Facebook <https://www.facebook.com/saintemarieaizenay>Google + <https://plus.google.com/105273696200535069375>LinkedIn <https://fr.linkedin.com/in/simon-fonteneau-b13382b0>Maps <https://goo.gl/maps/Jbyn8JUpumq>
On Tue Apr 12 11:45:45 2016, Fonteneau Simon wrote:
Donc virus ou pas virus, c'est à l'utilisateur de vérifier le nom de domaine dans la barre d'adresse.
Les pirates n'ont pas attendue let's encrypt ... Ils peuvent acheter un nom de domaine creditmutuell.fr et un certificat a 11€ qui va avec pour avoir un jolie cadenas et bluffer l'utilisateur
Mes utilisateurs doivent Apprendre à lire une URL : http://framablog.org/2016/01/08/apprenez-a-lire-une-url-et-sauvez-des-chaton...
Si les utilisateurs étaient responsables, les poules auraient des dents… -- alarig
Ils le sont, comme toute personne doué de raison est responsable des choix qu'elle fait Juste que cette responsabilité n'est pas acceptée .. On 12/04/2016 12:00, Alarig Le Lay wrote:
On Tue Apr 12 11:45:45 2016, Fonteneau Simon wrote:
Donc virus ou pas virus, c'est à l'utilisateur de vérifier le nom de domaine dans la barre d'adresse.
Les pirates n'ont pas attendue let's encrypt ... Ils peuvent acheter un nom de domaine creditmutuell.fr et un certificat a 11€ qui va avec pour avoir un jolie cadenas et bluffer l'utilisateur
Mes utilisateurs doivent Apprendre à lire une URL : http://framablog.org/2016/01/08/apprenez-a-lire-une-url-et-sauvez-des-chaton...
Si les utilisateurs étaient responsables, les poules auraient des dents…
_______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
-- "UNIX was not designed to stop its users from doing stupid things, as that would also stop them from doing clever things." – Doug Gwyn
Le Tue, Apr 12, 2016 at 11:01:49AM +0200, ay pierre [aypierre07@gmail.com] a écrit:
bonjour,
que penser vous du projet let's encrypt est suffisant pour sécurisé un site web sur lequel transit certaine information confidentiel?
Pour sécuriser les échanges au sens chiffrement de la liaison, ca sera suffisant. Mais pour l'identificat[1]/la confiance dans le site web, pas forcement. (cf les autres reponses) [1] parceque SSL/TLS, ca sert pas que a chiffrer, ca sert aussi a identifier le detenteur du certificat, et c'est ça que vendent (plus ou moins cher) les autorités de certification. -- Dominique Rousseau Neuronnexion, Prestataire Internet & Intranet 21 rue Frédéric Petit - 80000 Amiens tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop
Bonjour, On Tue, Apr 12, 2016 at 11:24:45AM +0200, Dominique Rousseau wrote:
Le Tue, Apr 12, 2016 at 11:01:49AM +0200, ay pierre [aypierre07@gmail.com] a écrit:
bonjour,
que penser vous du projet let's encrypt est suffisant pour sécurisé un site web sur lequel transit certaine information confidentiel?
Pour sécuriser les échanges au sens chiffrement de la liaison, ca sera suffisant. Mais pour l'identificat[1]/la confiance dans le site web, pas forcement. (cf les autres reponses)
[1] parceque SSL/TLS, ca sert pas que a chiffrer, ca sert aussi a identifier le detenteur du certificat, et c'est ça que vendent (plus ou moins cher) les autorités de certification.
Exactement. C'est du nivellement par le haut. Let's Encrypt est bien parti pour rendre HTTP deprecated, les navigateurs ont déjà tous bien envie d'afficher HTTP comme un problème, et ils ont raison. Les gens qui utilisent aujourd'hui de l'HTTPS domain-validated pour le petit cadenas vert vont devoir migrer sur des classes plus élevées pour regagner le cadenas vert quand les navigateurs n'afficheront plus celui-ci pour de l'HTTPS domain-validated ;-) Sylvain
Reply to the list, c'est mieux :). Le 2016-04-12 11:01, ay pierre a écrit : bonjour, Bonjour, que penser vous du projet let's encrypt est suffisant pour sécurisé un site web sur lequel transit certaine information confidentiel? Question à mon sens mal formulée. 1/ Sur le plan technique : La sécurité dépends de ta clef, et de ta politique de sécurité. Que ce soit du auto signé ou autre, le chiffrement se fait sur la base de ta clef privée / clef publique. 2/ Sur le plan "vu par l'utilisateur" : Lets encrypt est un certificat reconnu par plusieurs navigateurs, mais certificat n'ayant eu comme vérification que le domaine. De ce fait, tu a une chaine de confiance 'faible'. Les autres validations sont : La personne (par téléphone) jusqu'a le kbis + .... + vérification visuelle de la personne (genre certificats pour les banques etc). L'effet visible pour le client, soit le cadenas est rayé, soit la barre est verte, avec le nom de ta boite dedans. (ex les banques). ==> Que veux tu comme image de marque? 3/ sur le plan assurance : Pour toi : Dans le cas de lets encrypt, pas d'assurance associée. Nécéssité de le renouveller tous les 3 mois. Si tu prends une rolls des certificat, tu a une assurance pour si ton client se fait voler sa CB. ==> Que veux tu comme assurance? 4/ Mon opinion perso : Pour mon site web / extranet etc, letsencrypt est largement suffisant. Pas besoin de me faire chier à avoir une barre verte. Et vu que je ne fait pas transiter de CB ou autre, je n'ai pas besoin d'assurance. Voila :).
Le 12/04/2016 11:25, Richard DEMONGEOT a écrit :
Sur le plan "vu par l'utilisateur" : Lets encrypt est un certificat reconnu par plusieurs navigateurs, mais certificat n'ayant eu comme vérification que le domaine.
Mais je ne crois pas que l'utilisateur (hors FRSAG/NOG) soit capable de faire la différence :-) -- Manu Jacquet
Le 2016-04-12 12:13, Manu a écrit :
Le 12/04/2016 11:25, Richard DEMONGEOT a écrit :
Sur le plan "vu par l'utilisateur" : Lets encrypt est un certificat reconnu par plusieurs navigateurs, mais certificat n'ayant eu comme vérification que le domaine.
Mais je ne crois pas que l'utilisateur (hors FRSAG/NOG) soit capable de faire la différence :-)
Je pense qu'un utilisateur lambda fait la différence entre un cadenas, cadenas vert, barre verte avec le nom du site a coté du cadenas ;). Par contre, sans être bisounours, je doute qu'il comprenne la différence :). (mis à part le whaaa c'est vert, ça donne confiance, on peut y aller - élément inconscient du à notre éducation). Qui a jamais dis a un enfant "c'est vert tu peut y aller" ? ++ Richard.
Le 12/04/2016 16:04, Richard DEMONGEOT a écrit :
Le 2016-04-12 12:13, Manu a écrit :
Le 12/04/2016 11:25, Richard DEMONGEOT a écrit :
Sur le plan "vu par l'utilisateur" : Lets encrypt est un certificat reconnu par plusieurs navigateurs, mais certificat n'ayant eu comme vérification que le domaine.
Mais je ne crois pas que l'utilisateur (hors FRSAG/NOG) soit capable de faire la différence :-)
Je pense qu'un utilisateur lambda fait la différence entre un cadenas, cadenas vert, barre verte avec le nom du site a coté du cadenas ;).
Par contre, sans être bisounours, je doute qu'il comprenne la différence :). (mis à part le whaaa c'est vert, ça donne confiance, on peut y aller - élément inconscient du à notre éducation). Qui a jamais dis a un enfant "c'est vert tu peut y aller" ?
Je ne pense pas. Je me considère comme un poil au-dessus de l’utilisateur lambda, mais j’y connaissais rien en certificats SSL jusqu’à récemment, et ce n’est que depuis que j’ai suivi tout un débat sur DV vs EV et l’intérêt de Let’s Encrypt que j’ai compris et remarqué cela dans mon navigateur. Avant c’est tout juste si j’avais aperçu que sur certains sites il y avait une barre verte avec le nom du truc à côté du cadenas. Maintenant je me dis effectivement que c’est plus sérieux, sécurisé (enfin… c’est sujet à débat, surtout quand certains sites avec de tels certificats sont encore à RC4 au mieux…), et que c’est un poil plus rassurant quand on est sur un site de banque/paiement en ligne/e-commerce d’avoir ça. Mais pour l’utilisateur lambda, je doute même qu’il ait remarqué qu’il y avait plusieurs possibilités. Bruno
participants (12)
-
Alarig Le Lay -
ay pierre -
Bruno Pagani -
Dominique Rousseau -
Fonteneau Simon -
frsag@jack.fr.eu.org -
Julien Cabillot -
Manu -
Olivier Doucet -
Pierre DOLIDON -
Richard DEMONGEOT -
Sylvain Rochet