Peut-être que LetsEncrypt est la voie que tout le monde doit pendre ? Mais du coup comment achete-t-on des certificats pour la validation d'organisation ou la validation étendue ?
Pouvez vous me donner votre avis et votre positionnement sur ce sujet ?
Pourquoi vouloir des certificats EV ou OV ? Pour avoir le nom de sa boite dans la barre d'adresse ? Je doute que cela fasse une grande différence pour le end-user.
Il serait nettement préférable de passer chaque déploiement dans ssllabs pour s'assurer que plus rien ne traîne en SSL2/3 ou TLSv1 et de régler une bonne fois pour toute les millions de sites en mixed content. Sans compter les security headers qu'on aimerait bien voir un jour correctement mis pour éviter les XSS et autres injections, à commencer par le HSTS.
Et si on veux 'faire les choses bien' et offrir de vraies garanties de sécurité (attention, je n'ai pas dit que c'était suffisant), on peut pousser jusqu'à HPKP.
Si on rajoute à ça que let's encrypt fournira des wildcard dans quelques jours [1], je vois mal quel intérêt ont encore les autorités commerciales.
Petite note : avec DNSSEC et DANE, on pourra, un jour, mettre directement la clé publique dans le DNS. En fait, on peut déjà, c'est juste que les browsers ne le supportent pas.
Julien
1 : https://letsencrypt.org/2017/07/06/wildcard-certificates-coming-jan-2018.htm...