Le 14/02/2018 à 11:03, Julien Escario a écrit :
Peut-être que LetsEncrypt est la voie que tout le monde doit pendre ? Mais du coup comment achete-t-on des certificats pour la validation d'organisation ou la validation étendue ?
Pouvez vous me donner votre avis et votre positionnement sur ce sujet ?
Pourquoi vouloir des certificats EV ou OV ? Pour avoir le nom de sa boite dans la barre d'adresse ? Je doute que cela fasse une grande différence pour le end-user.
Il serait nettement préférable de passer chaque déploiement dans ssllabs pour s'assurer que plus rien ne traîne en SSL2/3 ou TLSv1 et de régler une bonne fois pour toute les millions de sites en mixed content. Sans compter les security headers qu'on aimerait bien voir un jour correctement mis pour éviter les XSS et autres injections, à commencer par le HSTS.
Et si on veux 'faire les choses bien' et offrir de vraies garanties de sécurité (attention, je n'ai pas dit que c'était suffisant), on peut pousser jusqu'à HPKP.
Si on rajoute à ça que let's encrypt fournira des wildcard dans quelques jours [1], je vois mal quel intérêt ont encore les autorités commerciales.
tout ca c'est tres joli mais ca parle que du web et neglige tout les autres services qui on besoin de certificats ssl pour fonctionner.
de plus lets encrypt change tout les 90 jours si je me souveint bien donc totalement inutilisable dans d'autres contextes
Bonne journee