Reply to the list, c'est mieux :).
Le 2016-04-12 11:01, ay pierre a écrit :
bonjour,
Bonjour,
que penser vous du projet let's encrypt est suffisant pour sécurisé un site web sur lequel transit certaine information confidentiel?
Question à mon sens mal formulée.
1/ Sur le plan technique : La sécurité dépends de ta clef, et de ta politique de sécurité. Que ce soit du auto signé ou autre, le chiffrement se fait sur la base de ta clef privée / clef publique.
2/ Sur le plan "vu par l'utilisateur" : Lets encrypt est un certificat reconnu par plusieurs navigateurs, mais certificat n'ayant eu comme vérification que le domaine.
De ce fait, tu a une chaine de confiance 'faible'.
Les autres validations sont : La personne (par téléphone) jusqu'a le kbis + .... + vérification visuelle de la personne (genre certificats pour les banques etc).
L'effet visible pour le client, soit le cadenas est rayé, soit la barre est verte, avec le nom de ta boite dedans. (ex les banques).
==> Que veux tu comme image de marque?
3/ sur le plan assurance : Pour toi : Dans le cas de lets encrypt, pas d'assurance associée. Nécéssité de le renouveller tous les 3 mois.
Si tu prends une rolls des certificat, tu a une assurance pour si ton client se fait voler sa CB.
==> Que veux tu comme assurance?
4/ Mon opinion perso : Pour mon site web / extranet etc, letsencrypt est largement suffisant. Pas besoin de me faire chier à avoir une barre verte. Et vu que je ne fait pas transiter de CB ou autre, je n'ai pas besoin d'assurance.
Voila :).