https://www.yaronet.com ? - Page 2

Si tu heberges ouais, tu peux avoir des certifs gratos

Si tu as ton propre serveur, tu veux dire ? Ça, d'accord (certificat auto-signé, je suppose ? )
Je parle bien évidemment chez un hébergeur du genr Infomanika

cacert.org pour avoir du gratos

Bah c'est du même principe que le certificat auto-signé, non ? (enfin, plus exactement, qu'en signant toi-même ton CA)
C'est juste des amateurs qui préfèrent avoir tous le même CA... mais je trouve ça plutôt dangereux, non ? (si tout le monde peut avoir un certificat signé, c'est mauvais signe )
(et ça ne veut pas dire que l'hébergeur va te filer du https gratuitement )

heu, je trouve aussi dangereux que d'avoir verisign qui me signe
enfin... ca veut pas dire grand chose

bah disons que verisign est censé vérifier qui il signe (après, en pratique, ... quoique, j'ai souvenir d'un scandale sur les noms de domaine, mais pas sur les certificats ^^)

ouais, les noms de domaine (enfin, surtout la redirection niveau DNS si le nom etait errone).
tu peux enregistrer un site web pour 5jrs gratos chez eux
je te raconte pas le nombre de noms bidons temporaire - j'avais pas mal discute avec un gars de labas a ce sujet

nan, mais sinon, oui verisign c connu, c bien pour une entreprise on est okay, mauis pour un site perso, je vois pas l'interet.

Le problème, c'est si tu acceptes le CA de cacert.org, tu n'auras plus d'avertissement quand tu vas sur un site perso en https
D'un certain côté, c'est pratique (logique, vu que c'est le but recherché), mais d'un autre côté, tu ne feras plus la différence entre un site « sérieux » en https (genre sncf.com, ça me ferait peur s'ils étaient signés par cacert.org ) et un site de phishing (qui ne sont pas censés pouvoir obtenir un vrai certificat https dont as déjà accepté le CA )

boargh, dans tous les cas spo secure

PpHd> Pour le mémo, j'ai une idée: achète un bloc-notes!

C'est pas sécurisé !

T'achètes un coffret, un cadenas, Alice&Bob et un autre cadenas...

Alice&Bob s'achètent où ? Je ne les trouve pas dans le commerce.

Pour Bob j'ai une idée , et pour Alice, bah en tapant sur Google...

Je me permet de remonter le sujet (parce qu'on a des rigolos qui ont été pris en train de faire du sniffing sauvage, et que yN est un des derniers endroits où je m'authentifie dans un cadre non sécurisé).

Le problème c'est qu'Infomaniak ne propose peut-être pas d'accès HTTPS sans certificat, donc rien de gratuit. En attendant une éventuelle solution, tu ne peux pas passer par un proxy ?

On peut faire du https sans certificat ?! (vraie question, pour moi, de toutes façons, ça a toujours été indispensable).
Cela dit, le proxy ne fait que déplacer le problème... une solution à base d'un certificat gratuit auto-signé serait à mon avis largement suffisante, pas besoin de faire certifier par une autorité. Je ne sais pas ce que représente l'option d'un certificat SSL non signé chez Infomaniak par rapport au coût de l'hébergement (chez 1&1, ils ne proposent pas cette option, c'est forcément signé et c'est vrai que ça fait dans les 10€/mois, mais d'après la FAQ d'Infomaniak, eux le proposent).
Edit : Bon bah a priori, c'est 6€/an chez Infomaniak...

Bah tu peux faire du HTTPS avec un certificat auto-signé, ou émit par n'importe quelle autoritée de certification autoproclamée, c'est ce que j'appelle par erreur "sans certificat" (dans le sens où avoir un certificat n'est là que pour satisfaire une contrainte technique, mais ça ne t'apporte aucune sécurité autre que le cryptage du flux). Et donc, je n'ai pas vérifié pour Infomaniak, mais il me semble que certains hébergeurs mutualisé, si tu veux faire du HTTPS c'est obligatoirement via un package où tu paies un certificat.

Je proposais un proxy en pensant que ton besoin était juste de masquer tes connexions à yAronet ; si tu rebondis en HTTPS sur une machine en laquelle tu as confiance (certificat signé ou non, peu importe) et qui elle se connecte à yAronet en HTTP, ça ne te suffit pas ?

iwannabeamaki (./48) :
Je proposais un proxy en pensant que ton besoin était juste de masquer tes connexions à yAronet ; si tu rebondis en HTTPS sur une machine en laquelle tu as confiance (certificat signé ou non, peu importe) et qui elle se connecte à yAronet en HTTP, ça ne te suffit pas ?

Bah ça veut quand même dire que tu fais confiance à ce qu'il y a entre ta machine de confiance (chez moi, par exemple) et tout ce qu'il y a au milieu, ça fait quand même beaucoup, non ?

Oui, mais encore une fois, je partais du principe que tu voulais masquer le trafic au yeux des admins réseau de ta boite. Si tu veux être sûr que d'un bout à l'autre personne ne peut surveiller tes visites sur yAronet, alors effectivement c'est sans autre solution que payer un certificat pour yaronet.com.

iwannabeamaki (./50) :
Oui, mais encore une fois, je partais du principe que tu voulais masquer le trafic au yeux des admins réseau de ta boite.

Non, les admins de ma boite, j'en fais partie on a juste des petits malins (des étudiants, on ne peut pas leur en vouloir ) qui sont venus avec un portable avec une distrib Linux orientée récupération d'infos (écoute réseau et autres).

ok, donc ça revient au même non ? (si tu sécurises la connexion "poste de travail => chez toi", peu importe que "chez toi => yaronet" soit crypté ?)

Oui, oui, dans le cas où je suis sûr que "chez moi => yaronet" est sûr, or qui me l'assure ? Ca peut être un problème chez moi (mon Wifi peut avoir été corrompu, ou tout simplement mon serveur domestique peut être coupé), ou une faille n'importe où sur le réseau (un problème de routage, une passerelle corrompue, n'importe quoi, en fait).

Mais personne te l'assure, c'est bien ce que je dis depuis 2 posts

Ce dont je parle depuis le début de cette discussion n'est bien sûr valable uniquement si tu veux empêcher quelqu'un de votre réseau interne de sniffer ton trafic. Comme il m'avait semblé que c'était la motivation principale de ta question (cf. ./51), ça aurait pu convenir. Si tu ne veux pas non plus dépendre d'une section "chez toi => yaronet" potentiellement non fiable, alors bien sûr il faudra un certificat pour yAronet, qui n'arrivera probablement jamais, donc ça s'arrête là.

Aaaah ok, ok !

Le fait qu'on ait découvert des rigolos en train de sniffer le traffic n'est pas ma motivation première, mais le déclencheur de ma question, c'est tout (je comprends mieux, j'avais vraiment l'impression qu'on n'arrivait pas à se comprendre )

ok

bah bonne chance alors, perso j'y crois pas trop ^^

iwannabeamaki (./48) :
mais ça ne t'apporte aucune sécurité autre que le cryptage du flux

bah c'est déjà beaucoup, non ?

bah ça dépend ce que tu recherches, si comme Nil tu veux t'assurer d'échanger avec yaronet.com et que personne n'écoute ton trafic alors non, c'est pas forcément énorme ^^

Hum, et pkoi ? Si tu génères ta clé c'est pas robuste ? Tu veux parler de l'usurpation de certificats & cie ? Je pense que c'est déjà bien moins courant, non ?

bah si tu génères ta clé tu vas avoir un avertissement de ton navigateur, et à moins de systématiquement ouvrir les 10 boites de dialogue nécessaires pour vérifier que c'est bien ta clé et que tu n'es pas en train de te prendre une attaque (à mon avis c'est très vite pénible, surtout pour quelque chose que tu fréquentes aussi souvent que yAronet), c'est absolument pas sûr :/