Bonjour,
Je ne comprend pas cette dernière remarque, ni celle d'avant d'ailleurs. Lets encrypt ne risque pas de mourir; il est juste supporté par tous les cadors du Web et d'ailleurs https://letsencrypt.org/sponsors/ .
Alors c'est marrant : mon ublock origin bloque ABSOLUMENT toutes les images des sponsors. Va falloir que je vois pourquoi tiens.
Blague mise à part : Let's Encrypt n'est pas dénué de critiques. Le fait qu'un certain nombres de cadors soutiennent le projet n'a jamais été gage de confiance absolue. Il suffirait que le projet souffre d'un déficit d'image pour une raison x ou y pour que ces gens là se retirent rapidement pour ne pas être associés au problème. Il y a aussi des arguments économiques.
Plus généralement, l'argument principal qui revient est : ce n'est pas la 'communauté' qui gère le truc (d'ailleurs la responsabilité des intervenants n'est pas très claire). On aime bien quand c'est ISO, IANA, RIPE ou IETF qui gère un truc comme ça, ce sont des organisations assez ouvertes. (cf DNSSEC) mais qui mettent plus de temps à s'imposer (un RFC, c'est looooong à faire accoucher).
Sur un registre plus technique, on peut citer le fait que n'importe qui peut désormais obtenir un certificat SSL pour son petit site de phishing, ce qui le rend beaucoup plus 'crédible' au yeux du grand public (en mode cadenas vert = confiance aveugle).
Ajoutons à cela que sur certains navigateurs, le punnycode permet de feinter l'adresse affichée dans la barre d'adresse et on a un joli bingo. Pour exemple avec apple.com : https://www.xudongz.com/blog/2017/idn-phishing/
Faille depuis contournée par les navigateurs récents mais qui met son navigateur à jour en 2018 ? C'est tellement 2000's.
Sur la première remarque : https://letsencrypt.org/docs/faq/ On peut faire un certificat validé pour le domaine entier, ça accepte les wildcards, donc il suffit d'une seule machine dédiée au renouvellement. A part
Petite précision : le wildcard n'est dispo que sur l'env de test. Il passera en prod le 27/02/2018. Notons au passage que la validation exigera ... du DNS ! (et plus du web).
si vous avez besoin de valider l'organisation (OV) ou si vous avez besoin d'un certificat étendu (EV), ça fonctionne.
Il faudrait revenir aux fondamentaux, TLS ca peut servir à 3 choses : * Chiffrer les communications (DV est parfait pour ça avec un score A+ sur SSLLabs/A sur Cryptcheck - coucou Aeris) * Authentifier le serveur : il faut OV/EV pour ça mais honnêtement, à part chez les geeks, je crois que tout le monde s'en fout (cf le nombre de gens qui bypassent les alertes de sécurité TLS et qu'on doit forcer à grand coup de HSTS). * Authentifier l'utilisateur : ça semble, pour une raison qui m'échappe, plus trop dans l'air du temps. C'était marrant pourtant.
Sur la limite de 90 jours, il y a de plusieurs méthodes pour renouveler ça automatiquement, et entre nous, je trouve ça plutôt réconfortant.
Clairement et la durée maximale des certs OV/EV est désormais de 29 mois.
Je génère plein de certificats avec let's encrypt que je n'utilise parfois plus. Le plus souvent, je pense à les révoquer mais les avoir qui se désactivent tout seuls au bout de 3 mois me simplifie grandement la vie.
Julien