33 private links
Un retour intéressant sur l'initiative Let’s Encrypt.
TIens, je ne connaissais pas cette faille.
D'après l'outil de test cité dans l'article, mon site est vulnérable à Poodle. Oups.
J'espère qu'OVH va faire le nécessaire !
Ah, je ne savais pas que le code d'OpenSSL était si terrible que cela oO
Récemment, CAcert (une autorité de certification qui distribue des certificats SSL/TLS gratuits) a été retirée de nombreuses distributions Linux (dont Debian).
Pourquoi ? Un sombre complot des autorités payantes ?
Non, car cette organisation n'est pas sûre : ils échouent à tous les audits de sécurité imposés (y compris ceux de Mozilla).
Bref, ils ne font pas les choses sérieusement et ne peuvent pas être considérés comme fiables.
Ou comment obtenir un certificat SSL gratuit qui sera valide dans le navigateur. Évidemment, ça ne remplace pas un "vrai" certificat si vous traitez des données sensibles ou devez fournir certaines preuves de qualité, mais ça suffira pour 99% des utilisateurs.
Le vrai problème, c'est de mettre en place le certificat obtenu dans un hébergement mutualisé... beaucoup font payer ce service, car il requiert d'avoir une adresse IP unique par site. Chez OVH, c'est malheureusement 50€/an...
C'est vrai qu'avec les autorités de certification qui sont inclues de base, la substitution des certificats légitimes n'est pas un problème pour une agence telle que la NSA.
Heureusement, il existe des extensions pour les principaux navigateurs qui permettent de lever une alerte si un certificat a changé.
En temps que développeur, si vous communiquez en SSL/TLS, n'oubliez pas de vérifier le fingerprint ! Un collègue de classe a réussi à faire un MITM SSL d'une application, car celle-ci ne vérifiait pas si c'était le bon certificat !
Ce site permet de tester la qualité des certificats SSL d'un domaine.