RE: [MISC] [FRnOG] [ALERT] annonce letsencrypt

2020-11-07 Par sujet Michel Py 
>> Michel Py a écrit :
>> En plus que, même pour un site perso, on peut s'offrir un certificat 
>> commercial.

> Stephane Bortzmeyer a écrit :
> Sauf que le problème n'est en fait pas un problème de certificat. Un Android 
> pas mis à jour depuis cinq ans
> aura des tas d'autres problèmes avec TLS, comme l'impossibilité d'utiliser 
> les versions récentes ou bien les
> algorithmes récents. J'ai chez moi une tablette Android pas mettable à jour 
> qui est d'ores et déjà
> inutilisable sur l'Internet car limitée à TLS 1.0. Donc, le problème n'est 
> pas spécifique à Let's Encrypt.

Correct, mon point était que, et malgré que je supporte intellectuellement 
Let's Encrypt, çà ne vaut pas un emmerdement supplémentaire pour économiser $6 
par an. Si j'avais un besoin d'utiliser TLS 1.0, je l'aurais laissé activé, au 
contraire du reste du "security circus" qui pousse à la consommation en 
désactivant ce qui est un peu démodé.

Google et consorts (tous dans le même bateau, ou presque) qui ne mettent pas à 
jour c'est pour une raison qui n'a rien a voir avec la sécurité : çà fait 
marcher le commerce.


> Florent CARRÉ a écrit :
> Quand je parlais des certificats payants en terme de sécurité, je voulais 
> surtout le dire sur la 
> validation/certification de la personne ou entreprise cliente. Tu prends les 
> infos venant de letsencrypt,
> tu ne sais rien, il n'y a rien du tout. Tu prends un DV ou mieux un OV et on 
> voit la différence.

Moi je vois que dalle.

> Se rappeler du "warranty" quand on prend un certificat payant, cela n'existe 
> pas dans letsencrypt.

Cà sert à rien.

> Michel 'ic' Luczak a écrit :
> Ou comment foutre son argent par la fenêtre pour un EV qui ne sert à rien...
> par ailleurs les navigateurs ont laissé tomber la “barre verte” récemment.

+1

> Thomas Gaudin a écrit :
> Même question pour les "assurances" sur les certificats : ça sert à quoi ?
> Apparemment pas grand-chose

+1

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [MISC] [FRnOG] [ALERT] annonce letsencrypt

2020-11-07 Par sujet Stéphane Rivière 
> rien… par ailleurs les navigateurs ont laissé tomber la “barre verte”
> récemment.

J'avais remarqué dernièrement cette disparition sans en connaître la
raison... Merci Michel...

> https://www.bleepingcomputer.com/news/security/extended-validation-ev-certificates-abused-to-create-insanely-believable-phishing-sites/

Effectivement énorme ou pitoyable, selon le point de vue...

-- 
Stéphane Rivière
Ile d'Oléron - France


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [MISC] [FRnOG] [ALERT] annonce letsencrypt

2020-11-07 Par sujet Michel 'ic' Luczak 
Hello,

> On 7 Nov 2020, at 14:33, Florent CARRÉ  > wrote:
> 
> Quand je parlais des certificats payants en terme de sécurité, je voulais
> surtout le dire sur la validation/certification de la personne ou
> entreprise cliente.


Ou comment foutre son argent par la fenêtre pour un EV qui ne sert à rien… par 
ailleurs les navigateurs ont laissé tomber la “barre verte” récemment.

https://www.bleepingcomputer.com/news/security/extended-validation-ev-certificates-abused-to-create-insanely-believable-phishing-sites/
 


++ ic
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [MISC] [FRnOG] [ALERT] annonce letsencrypt

2020-11-07 Par sujet David Ponzone 


> Le 7 nov. 2020 à 15:35, Florent CARRÉ  a écrit :
> 
> Jonathan, CAcert aurait été le bon exemple si tout l'engouement qu'a eu
> letsencrypt avait été porté à CAcert pour être mis à niveau et on aurait eu
> la première CA alternative européenne.
> 

J’ai raté un truc ?
CACert est actuellement une ONG australienne et l’Australie est un bon collabo 
de la NSA.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [MISC] [FRnOG] [ALERT] annonce letsencrypt

2020-11-07 Par sujet Florent CARRÉ 
David, la réflexion était plus sur le fait qu'on avait déjà quelque
chose et qui pouvait via un lobbying se mettre dans les navigateurs mais
finalement, il a été fait en mode "anonyme" et avec le nom de letsencrypt.

CAcert oblige la validation de l'identité de l'utilisateur, chose qui
justement reprend exactement le process des paid certificates

Ensuite avec le TLSA, on peut se passer des CA reconnues mais son
implémentation dans les navigateurs est encore loin d'être là.

On Sat, Nov 7, 2020, 09:08 David Ponzone  wrote:

> >
> > PS: look CAcert (http://www.cacert.org/) que seulement certains
> > connaissent, on avait nos certificats gratuits bien avant l'existence de
> > letsencrypt et en même temps, bien plus sécurisé que letsencrypt car la
> > validation de la personne est obligatoire.
>
> Le RootCert de CACert n’étant pas inclus dans les navigateurs Windows ou
> MacOS, c’est un peu délicat à utiliser en dehors d’un groupe fermé non ?
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [MISC] [FRnOG] [ALERT] annonce letsencrypt

2020-11-07 Par sujet David Ponzone 
> 
> PS: look CAcert (http://www.cacert.org/) que seulement certains
> connaissent, on avait nos certificats gratuits bien avant l'existence de
> letsencrypt et en même temps, bien plus sécurisé que letsencrypt car la
> validation de la personne est obligatoire.

Le RootCert de CACert n’étant pas inclus dans les navigateurs Windows ou MacOS, 
c’est un peu délicat à utiliser en dehors d’un groupe fermé non ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/