2018-02-14 11:20 GMT+01:00 Benoit Mortier benoit.mortier@opensides.be:
Le 14/02/2018 à 11:03, Julien Escario a écrit :
Peut-être que LetsEncrypt est la voie que tout le monde doit pendre ?
Mais du
coup comment achete-t-on des certificats pour la validation d'organisation ou la
validation
étendue ?
Pouvez vous me donner votre avis et votre positionnement sur ce sujet ?
Pourquoi vouloir des certificats EV ou OV ? Pour avoir le nom de sa
boite dans
la barre d'adresse ? Je doute que cela fasse une grande différence pour
le end-user.
Il serait nettement préférable de passer chaque déploiement dans ssllabs
pour
s'assurer que plus rien ne traîne en SSL2/3 ou TLSv1 et de régler une
bonne fois
pour toute les millions de sites en mixed content. Sans compter les security headers qu'on aimerait bien voir un jour
correctement
mis pour éviter les XSS et autres injections, à commencer par le HSTS.
Et si on veux 'faire les choses bien' et offrir de vraies garanties de
sécurité
(attention, je n'ai pas dit que c'était suffisant), on peut pousser
jusqu'à HPKP.
Si on rajoute à ça que let's encrypt fournira des wildcard dans quelques
jours
[1], je vois mal quel intérêt ont encore les autorités commerciales.
tout ca c'est tres joli mais ca parle que du web et neglige tout les autres services qui on besoin de certificats ssl pour fonctionner.
de plus lets encrypt change tout les 90 jours si je me souveint bien donc totalement inutilisable dans d'autres contextes
Tous mes certifs LE sont générés sur une seul machine avec dehydrated :
- Un hook nsupdate pour valider les chalenges DNS-01. - Un hook post-update pour pousser les certifs mis à jour avec ansible (+ redémarrage des services si nécessaire).
Les clés privées ne changent pas (donc pas de soucis pour HPKP, DANE etc…)
Bonne journee
Benoit Mortier CEO OpenSides "logiciels libres pour entreprises" : http://www.opensides.eu/ Promouvoir et défendre le Logiciel Libre http://www.april.org/ Main developer in FusionDirectory : http://www.fusiondirectory.org/ Official French representative for OPSI : http://opsi.org/
Liste de diffusion du FRsAG http://www.frsag.org/