468Fermer470
Kevin KoflerLe 30/08/2015 à 23:24
Uther (./463) :
Pas vraiment parce que ton certificat autosigné sera invalide a moins que ton visiteur l'ai rajouté manuellement sur sa machine (et dans ce cas le problème ne se pose pas). Et avec un certificat invalide, tu n'as aucune garantie sur l'origine donc au final pas plus de garantie qu'avec pas de certificat du tout. Le certificat peut facilement être intercepté et substitué et tu n'en saura rien.
Tout ce que j'ai dit, c'est qu'il faut une attaque active (man in the middle) pour intercepter une connexion cryptée, même avec un certificat invalide (que l'attaque remplacera par un autre, invalide aussi), alors que pour le HTTP, un snooping passif suffit. Donc le HTTPS avec un certificat invalide est marginalement plus sûr. Et donc les navigateurs qui refusent le HTTPS avec un certificat invalide tout en laissant passer le HTTP sans le moindre avertissement font n'importe quoi.
Godzil (./464) :
Kevin et? Tout le monde connais l'avantage du HTTPS vs HTTP, le *s garantit l'origine en plus d'encrypter.
Le cryptage est une chose, mais pas la seule raison du https. Et puis si les site décide de faire avec la bonne méthode qui est utiliser un tier de confiance pour dire "oui ce certificat est bien celui www.bidule.truc" c'est bien plus sur que juste crypter.
Toi aussi, tu n'as pas compris mon argument, et je ne comprends pas trop ce que vous ne comprenez pas. Le comportement des navigateurs est illogique parce qu'il donne des avertissements de sécurité dans un cas (HTTPS avec certificat invalide) et pas dans un autre encore moins sûr (HTTP non crypté), et du coup les sites préfèrent le deuxième et le niveau de sécurité diminue au lieu d'augmenter comme voulu.
Meowcate (./468) :
Ah voilà : https://letsencrypt.org
Tiens, Q4 2015... la dernière fois que j'étais venu, c'était supposé être presque terminé ^^
https://letsencrypt.org/2015/08/07/updated-lets-encrypt-launch-schedule.html:
We can’t wait to see websites turn on TLS with Let’s Encrypt. Trust is our most important asset, however, and we need to take the necessary time to make sure our systems are secure and stable.We’ve decided to push our launch schedule back a bit to give us time to further improve our systems. Our new schedule is:
  • First certificate: Week of September 7, 2015
  • General availability: Week of November 16, 2015
Ça devrait résoudre le problème du coût des certificats et donc rendre le HTTPS plus populaire.