Informatique

Bonjour,

Let's encrypt c'est gratuit donc on a plus besoin de payer pour un certificat SSL?

Oui

Alors pq les autres se vendent encore ?

J'suis pas admin sys je peux pas te repondre exactement ^^
Mais au niveau des bases de données par exemple, phpbb est gratuit pourtant certains prefèrent payer pour lithium.

Le 23 décembre 2016 à 23:20:17 fazow a écrit :
J'suis pas admin sys je peux pas te repondre exactement ^^
Mais au niveau des bases de données par exemple, phpbb est gratuit pourtant certains prefèrent payer pour lithium.

juste pour rectifier, phpBB est un forum, pas une base de donnée (mais l'exemple tient entre pourquoi utiliser bdd Oracle quand on peut avoir mysql/mariadb/percona/...) ou au niveau des forum pourquoi prendre vBulletin quand on a phpBB.

La réponse en soit pour Let's Encrypt est similaire, en gros :

Les avantages de Let's Encrypt :
+gratuit.
+dans une configuration idéale peut tourner de façon automatiser et te fournir un certificat sans prise de tête.
Les désavantages :
-sa configuration idéale n'est pas forcément celle de tout le monde...
-son comportement "automatisé" de son appli par défaut peut déplaire aux sysadmin qui n'aime pas forcément donner les pleins pouvoir sur les configurations d'un serveur web, à une application tiers.
-la durée de validité des certificats émis est de 3 mois de mémoire, du coup si le système est pas automatisé, il faut se prendre la tête avec tout les 3 mois.
-pas de wildcard, il te faut un certificat par sous-domaine il me semble (à confirmer j'ai un doute...)
-toute les méthodes de chiffrements ne sont pas supportés, et je pense principalement aux chiffrements par courbe elliptique, les "meilleurs" (c'est relatif selon les avis sur ce point...) courbes supporté par les normes et logiciels (LibreSSL/OpenSSL/...) ne sont pas forcément supporté...

Enfin, il y a différent niveau de validation SSL, et celui fournit par Let's Encrypt n'est pas le plus élevé... (ce qui se traduit par exemple par un symbole de cadenas sécurisé dans les navigateurs, mais pas par une jolie barre de navigation verte comme certains certificat SSL font...), il me semble que l'idée derrière ça, est que le niveau SSL fournit par Let's Encrypt signifie que tu peux garantir que le serveur avec lequel le client communique est bien celui lié au nom de domaine (donc pas de Man-In-The-Middle), et que la communication est bien chiffré entre eux par HTTPS. Alors que d'autres domaines sont censé je crois pouvoir prouver que tel domaine appartient à tel entreprise/... ('fin je suis pas totalement sûr de moi sur ce point, j'ai jamais utilisé le SSL à ce niveau, mais de mémoire il est avancé que ça apporte des garanties en plus du chiffrement et de l'authenticité du serveur).

Oui au niveau forum ! (J'sais pas pq j'ai dis base de données )

Parmi les différences, les certificats de let's encrypt ne supportent pas (encore, ça viendra peut-être) le wildcard : si tu veux un certificat pour, disons www.monsite.com et admin.monsite.com, avec let's encrypt, ce sera deux certificats différents.

D'ailleurs, c'est possible de mettre en place Let'encrypt sur Ngnix ?

D'ailleurs, c'est possible de mettre en place Let'encrypt sur Ngnix ?

Oui

si tu veux un certificat pour, disons www.monsite.com et admin.monsite.com, avec let's encrypt, ce sera deux certificats différents.

Tu as la possibilité de n'en faire qu'un seul également.

Ben donc on peut tout faire alors ? Et au pire si on a 2 certificats osef ?

Le 24 décembre 2016 à 11:51:02 deepblue a écrit :
Tu as la possibilité de n'en faire qu'un seul également.

Avec let's encrypt ? La dernière fois que je m'étais penché dessus (y a une paire de mois), ils disaient ne pas encore gérer le wildcard. C'est récent ?

Je ne faisais pas référence au wildcard qui n'arrivera sans doute jamais (c'est assez simple de faire une demande de certificat à la volé). Tu peux cependant demander un certificat qui identifie plusieurs domaines.

Et si on a juste un domaine ?

Qui peut le plus, peut le moins. https://www.deblan.io/post/538/let-s-encrypt-comment-se-faciliter-la-vie

Le 24 décembre 2016 à 12:13:41 _Pytchoun a écrit :
Ben donc on peut tout faire alors ? Et au pire si on a 2 certificats osef ?

Non on peut pas vraiment tout faire. Comme les autres posts l'ont indiqué il y a plusieurs types de certificats :

• les certificats validation de domaine (DV, pour "domain validation"). Ce sont ceux qui sont distribués par Let's Encrypt. Leur utilité c'est de certifier que personne si tu visites le site example.com, tu communiques bien avec le site example.com, et pas avec un man in the middle. Ils ne protègent PAS du phishing, ainsi un site qui s'appelle "facebouke.com" et qui se ferait passer pour facebook peut très bien recevoir un certificat DV. Comme leur nom l'indique, ils permettent juste de s'assurer qu'un domaine appartient bien à la personne avec qui on essaie de communiquer.

• les certificats de validation d'organisation (OV pour "organization validation"). Pour avoir un certificat comme ça, il faut pouvoir prouver non seulement que le domaine t'appartient, mais en plus qu'il soit utilisé pour quelque chose de légitime. Si tu achètes facebouke.com pour faire du phishing, tu ne pourras pas avoir un certificat OV. En pratique cependant ils sont pas beaucoup plus secures pour l'utilisateur final que les DV, car la validation dépend du sérieux de l'entité de validation qui va derrière. Pour moi les OV sont à abandonner au profit des suivants dans tous les cas.

• les certificats à validation étendue (EV pour extended validation), qui eux comme les OV permettent de valider l'authenticité d'une entité (ie. si j'achète facebouke.com, je ne pourrais JAMAIS avoir un certificat EV qui dit "je suis facebook"). La différence avec le OV c'est la rigueur du process de validation. Les navigateurs affichent ce type de certificats d'une façon différente des autres, en affichant le nom de l'entreprise dans l'URL, comme ça par exemple : http://www.noelshack.com/2016-52-1482746256-capture.png

Dans ton cas le certificat DV est largement suffisant en tout cas, comme dans le cas d'une grosse majorité des sites web. En revanche j'irais pas sur le site de ma banque si elle n'offre pas un certificat EV.
Donc non, tu ne peux pas TOUT faire avec Let's Encrypt, mais ça permet déjà de faire des choses suffisantes

Le 26 décembre 2016 à 11:00:46 WatchItBurn a écrit :

Le 24 décembre 2016 à 12:13:41 _Pytchoun a écrit :
Ben donc on peut tout faire alors ? Et au pire si on a 2 certificats osef ?

Non on peut pas vraiment tout faire. Comme les autres posts l'ont indiqué il y a plusieurs types de certificats :

• les certificats validation de domaine (DV, pour "domain validation"). Ce sont ceux qui sont distribués par Let's Encrypt. Leur utilité c'est de certifier que personne si tu visites le site example.com, tu communiques bien avec le site example.com, et pas avec un man in the middle. Ils ne protègent PAS du phishing, ainsi un site qui s'appelle "facebouke.com" et qui se ferait passer pour facebook peut très bien recevoir un certificat DV. Comme leur nom l'indique, ils permettent juste de s'assurer qu'un domaine appartient bien à la personne avec qui on essaie de communiquer.

• les certificats de validation d'organisation (OV pour "organization validation"). Pour avoir un certificat comme ça, il faut pouvoir prouver non seulement que le domaine t'appartient, mais en plus qu'il soit utilisé pour quelque chose de légitime. Si tu achètes facebouke.com pour faire du phishing, tu ne pourras pas avoir un certificat OV. En pratique cependant ils sont pas beaucoup plus secures pour l'utilisateur final que les DV, car la validation dépend du sérieux de l'entité de validation qui va derrière. Pour moi les OV sont à abandonner au profit des suivants dans tous les cas.

• les certificats à validation étendue (EV pour extended validation), qui eux comme les OV permettent de valider l'authenticité d'une entité (ie. si j'achète facebouke.com, je ne pourrais JAMAIS avoir un certificat EV qui dit "je suis facebook"). La différence avec le OV c'est la rigueur du process de validation. Les navigateurs affichent ce type de certificats d'une façon différente des autres, en affichant le nom de l'entreprise dans l'URL, comme ça par exemple :

Dans ton cas le certificat DV est largement suffisant en tout cas, comme dans le cas d'une grosse majorité des sites web. En revanche j'irais pas sur le site de ma banque si elle n'offre pas un certificat EV.
Donc non, tu ne peux pas TOUT faire avec Let's Encrypt, mais ça permet déjà de faire des choses suffisantes

Vendre des trucs c'est bon ?

Il faut éviter. Typiquement, Gandi propose (via comodo je crois) une offre pro avec des transactions financières garanties que lets encrypt ne peut pas délivrer.

Bah, ça dépend d'un truc, c'est la page de paiement, c'est elle qui a le plus besoin de https du fait que le client va y coller ses infos de CB.

Cependant, souvent cette page est déporté sur un tiers (système de paiement fournis par une banque, ou encore Paypal), et dans ce cas là, le SSL est peu important sur ton site vu que c'est le SSL et le certificat de la banque ou de Paypal qui sécurisera les données.

Après, comme Let's encrypt est gratuit, ça coûte rien de mettre son certificat sur le reste du site, c'est même un plus pour le référencement par Google me semble... Après si c'est ton site qui récolte les infos de CB... Je sais pas si ce certificat est suffisant ou non... (mais je ne pense pas..., car à part que tu n'est pas un "man-in-the-middle", ton certificat ne prouve rien du sérieux ou de l'organisation qui est derrière le certificat si ce n'est qu'un Let's Encrypt... d'où les offres comme celles dont parle deepblue).

Le 26 décembre 2016 à 16:25:43 AzazelBee a écrit :
Après, comme Let's encrypt est gratuit, ça coûte rien de mettre son certificat sur le reste du site, c'est même un plus pour le référencement par Google me semble...

Je confirme ça, et ce sera de plus en plus vrai dans le futur. A priori dans un futur très proche les navigateurs tendront à bloquer d'eux-mêmes TOUTE navigation non HTTPS, pour le meilleur et pour le pire...

Perso je suis plutôt partisan de mettre tout le site en HTTPS DV via Let's Encrypt, et de laisser la gestion du paiement à une entité externe (Paypal ou site de banque). En tant qu'utilisateur j'ai tendance à être extrêmement méfiant des sites qui me demandent mes infos bancaires d'eux-mêmes, c'est très suspect.

Mon avis est le même que celui d'AzazelBee en fait, mais autant avoir deux avis qui se recoupent qu'un seul pour des points critiques

Le 26 décembre 2016 à 16:31:57 WatchItBurn a écrit :

Le 26 décembre 2016 à 16:25:43 AzazelBee a écrit :
Après, comme Let's encrypt est gratuit, ça coûte rien de mettre son certificat sur le reste du site, c'est même un plus pour le référencement par Google me semble...

Je confirme ça, et ce sera de plus en plus vrai dans le futur. A priori dans un futur très proche les navigateurs tendront à bloquer d'eux-mêmes TOUTE navigation non HTTPS, pour le meilleur et pour le pire...

Perso je suis plutôt partisan de mettre tout le site en HTTPS DV via Let's Encrypt, et de laisser la gestion du paiement à une entité externe (Paypal ou site de banque). En tant qu'utilisateur j'ai tendance à être extrêmement méfiant des sites qui me demandent mes infos bancaires d'eux-mêmes, c'est très suspect.

Mon avis est le même que celui d'AzazelBee en fait, mais autant avoir deux avis qui se recoupent qu'un seul pour des points critiques

Mais avec les https on gagne moins d'argent avec les pubs non ?