Logo journal du hacker middle
  1. 6
  1.  

  2. 1

    Voilà le drame, si on veut juste avoir une connexion chiffréé on est obligés de passer par Let’s Encrypt ou sinon il faut payer pour de la paperasse. Avoir mélangé ces deux aspects a été une erreur. Cela étant dit Numerama aurait quand même pu se prendre un vrai certificat, c’est un magazine assez gros quand même.

    1. 6

      Comment ça, un vrai certificat ? En quoi un certificat signé par LE n’est pas vrai ?

      1. 2

        Dans les faits, même un certificat auto-signé est un “vrai certificat”… ^_^

      2. 1

        Quels sont les “deux aspects” dont tu parles ?

        Un certificat EV n’apporte aucune sécurité supplémentaire vis-à-vis d’un certificat classique, à la base c’est juste un moyen que les AC ont trouvé pour vendre plus cher des certificats avec des vérifications supplémentaires plus ou moins bidons (cf le certificat EV “usurpé” pour Stripe). Et pour le coup ça introduit un danger pour les utilisateurs, car le navigateur afficherait un nom d’entreprise “validé” qui en vérité n’appartient potentiellement pas à l’entreprise en question. Enfin tout ça c’est du passé car les principaux navigateurs (tous ?) ont arrêté de distinguer les EV des classique, donc aujourd’hui ça n’apporte strictement plus rien (à considérer que ça ai un jour apporté quelque chose).

        1. 1

          Si je ne m’abuse les deux aspects c’est le fait de lier le chiffrement avec l’utilisation d’un tier de confiance.

          C’est vrai que ça aurait été pas mal d’avoir du chiffrement sans passer par un tier de confiance…

          1. 1

            En effet, ça serait pas mal… C’est possible côté SMTP via le protocole DANE, mais pas côté HTTP/navigateurs. Chrome avait un début d’implémentation, mais ça a été retiré car peu utilisé… >_<’

            1. 1

              Hmm non DANE n’enlève pas le tier de confiance. Il peut éventuellement rendre correct un certificat autosigné mais tant que la couche de sécurité est TLS, ça passe par un tier de confiance.

              1. 1

                Le tiers de confiance c’est la CA qui a signé le certificat. DANE permettrait de s’en passer en utilisant le mode où l’empreinte de la clé publique (d’un certificat auto-signé) est publiée dans le RR TLSA lié au nom.

                1. 1

                  Ouai donc c’est de l’autosigné et le tier c’est juste toi même. La crypto n’est absolument pas changée (ça reste TLS).

                  1. 1

                    Ah ok je comprend mieux ce que tu veux dire. Oui en effet.

                    1. 2

                      Edit: en fait non, si le “tiers” est moi-même ce n’est plus un tiers, par définition.