HTTPS : le chiffrement pour tous les sites WordPress.com

Le par  |  12 commentaire(s)
https

Grâce au projet Let's Encrypt de chiffrement gratuit du Web, WordPress.com ajoute le support HTTPS pour tous ses blogs et sites.

Tous les domaines personnalisés hébergés sur WordPress.com passent aux communications chiffrées via HTTPS. Jusqu'à présent, seuls les sous-domaines WordPress.com prenaient en charge HTTPS.

serrure-numeriqueCe déploiement de HTTPS pour tous les blogs et sites WordPress.com - près de 25 % du Web tournerait avec WordPress - s'appuie sur le projet Let's Encrypt pour la généralisation des communications chiffrées sur le Web entre un serveur et l'utilisateur. Le mois dernier, Let's Encrypt a annoncé le cap du million de certificats gratuits pour sécuriser près de 2,4 millions de domaines Internet.

Pas de surprise, Let's Encrypt compte parmi ses soutiens Automattic qui propose le service WordPress.com et contribue par ailleurs à la plateforme open source WordPress. Grâce à un chiffrement fort, WordPress.com met en avant la protection de ses utilisateurs dont contre " la surveillance des contenus et communications, le vol de cookie, le détournement de compte et diverses vulnérabilités de sécurité Web. "

Il s'agira essentiellement d'un rempart contre les attaques de type man in the middle. La bonne nouvelle est que WordPress.com s'occupe de tout avec un déploiement qui se fait de manière automatique. En outre, toutes les requêtes HTTP en clair seront automatiquement redirigées vers leurs homologues chiffrés.

Depuis la fin de l'année dernière, le moteur de recherche Google a commencé à indexer les pages HTTPS par défaut et avait au préalable fait de HTTPS un signal pour le classement dans les résultats. Avec HTTPS activé, les sites sont mieux classés que leurs équivalents en clair.

Avec Let's Encrypt, un serveur Web peut être configuré pour avoir recours à un chiffrement RSA en 2048 bits par défaut.

Complément d'information
  • FREAK : faille révoltante dans SSL/TLS
    Baptisée FREAK, une vulnérabilité dans le chiffrement fait que des sites sécurisés ne le sont en fait pas. Le souci survient avec une consultation depuis le navigateur Safari pour OS X et iOS, et l'ancien navigateur d'Android. Un ...
  • Alerte Linux : faille critique dans une implémentation de SSL et TLS
    Une importante vulnérabilité a été découverte dans la bibliothèque GnuTLS utilisée dans des distributions Linux. GnuTLS est une implémentation libre des protocoles de sécurisation SSL et TLS.

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1889293
J'comprends toujours pas l'intérêt du HTTPS pour des sites/blogs vitrines... mais bon, si maintenant on peut tout chiffrer, why not
Le #1889306
Safirion a écrit :

J'comprends toujours pas l'intérêt du HTTPS pour des sites/blogs vitrines... mais bon, si maintenant on peut tout chiffrer, why not


Pour rassurer les mamie qui vont sur des sites de cuisine
Le #1889310
+1
Quand je pense que Google classe mieux les sites https. Pour un site de plombier je vois pas trop l'intérêt de mettre ça en avant !
Le #1889313
Rymix a écrit :

Safirion a écrit :

J'comprends toujours pas l'intérêt du HTTPS pour des sites/blogs vitrines... mais bon, si maintenant on peut tout chiffrer, why not


Pour rassurer les mamie qui vont sur des sites de cuisine


Les mamies ? xD
Moi mes grands-parents, j'leur dit HTTP ou HTTPS, ils savent ni ce que c'est ni la différence que ça peut faire
Le #1889315
kerlutinoec a écrit :

+1
Quand je pense que Google classe mieux les sites https. Pour un site de plombier je vois pas trop l'intérêt de mettre ça en avant !


Disons que ça a le mérite de rendre un peu plus difficile le fichage généralisé... à condition d'être attentif _aussi_ aux plus gros ficheurs... https://bit.ly/23wAmCW
Le #1889316
Safirion a écrit :

Rymix a écrit :

Safirion a écrit :

J'comprends toujours pas l'intérêt du HTTPS pour des sites/blogs vitrines... mais bon, si maintenant on peut tout chiffrer, why not


Pour rassurer les mamie qui vont sur des sites de cuisine


Les mamies ? xD
Moi mes grands-parents, j'leur dit HTTP ou HTTPS, ils savent ni ce que c'est ni la différence que ça peut faire


Nan mais faut pas leur parler comme ça, faut leur dire "regarde si ya un petit cadenas"
Le #1889318
Safirion a écrit :

Rymix a écrit :

Safirion a écrit :

J'comprends toujours pas l'intérêt du HTTPS pour des sites/blogs vitrines... mais bon, si maintenant on peut tout chiffrer, why not


Pour rassurer les mamie qui vont sur des sites de cuisine


Les mamies ? xD
Moi mes grands-parents, j'leur dit HTTP ou HTTPS, ils savent ni ce que c'est ni la différence que ça peut faire


Mais ils connaissent tous le fameux cadenas !
P'tit fils à dit : Sans cadenas c'est dangereux mamie
Le #1889326
HTTPS, S pour supercherie ?

Plus illusoire encore est la confidentialité des échanges promises par le HTTPS, la sécurité offerte par les sites de e-commerce, de banque en ligne ou les services de messagerie. Pour la NSA et ses alliés, intercepter ces communications par millions fait figure de routine. Selon un document de l’agence américaine, cette dernière prévoyait de décoder 10 millions de connexions HTTPS par jour fin 2012 ! A noter : l’intérêt particulier des espions pour les sessions de saisie des mots de passe. Signalons encore la capacité de l’agence à déchiffrer certaines communications SSH, protocole utilisé notamment par les administrateurs – cible appréciée des espions de Fort Meade – pour se connecter à des machines à distance. Une faille évidemment exploitée pour gagner des accès à des systèmes critiques, comme des routeurs.

Tous ces exemples sont révélateurs de la volonté des espions de décoder de grandes masses d’informations chiffrées, pour s’adapter à l’évolution d’Internet où les échanges ont de plus en plus souvent recours à cette technique. Dans un document Snowden publié par Der Spiegel, où le chiffrement est présenté comme une « menace », il est ainsi écrit : « il y a de cela 20 ans, le fait que des communications soient chiffrées signifiait qu’elles renfermaient très probablement des renseignements d’une puissance étrangère, car seuls les gouvernements et d’autres cibles importantes avaient les ressources pour acheter ou développer puis implémenter des communications chiffrées. Aujourd’hui, n’importe quel utilisateur d’Internet peut accéder à des pages Web via le système commercial de chiffrement fort fourni par HTTPS, et les entreprises de toute taille peuvent implémenter des réseaux privés virtuels (VPN) permettant à leurs employés d’accéder de façon sécurisée à des données sensibles ou appartenant à l’entreprise, et ce depuis n’importe où dans le monde ». En 2013, les fuites d’Edward Snowden ont permis de mettre au jour l’existence du programme Bullrun, par lequel la NSA tente de casser le plus grand nombre possible de techniques de déchiffrement, via de multiples techniques (influence sur les standards, backdoors ou utilisation de la force brute pour le déchiffrement via les supercalculateurs Tordella et Oak Ridge). Un effort au long cours ; Bullrun existant depuis une décennie selon le document dévoilé par le lanceur d’alertes, une présentation datant de 2010.

En savoir plus sur http://www.silicon.fr/chiffrement-echapper-curiosite-nsa-104793.html#RWuTJu3vyyY1AHoY.99
Le #1889337
smartmeister a écrit :

HTTPS, S pour supercherie ?

Plus illusoire encore est la confidentialité des échanges promises par le HTTPS, la sécurité offerte par les sites de e-commerce, de banque en ligne ou les services de messagerie. Pour la NSA et ses alliés, intercepter ces communications par millions fait figure de routine. Selon un document de l’agence américaine, cette dernière prévoyait de décoder 10 millions de connexions HTTPS par jour fin 2012 ! A noter : l’intérêt particulier des espions pour les sessions de saisie des mots de passe. Signalons encore la capacité de l’agence à déchiffrer certaines communications SSH, protocole utilisé notamment par les administrateurs – cible appréciée des espions de Fort Meade – pour se connecter à des machines à distance. Une faille évidemment exploitée pour gagner des accès à des systèmes critiques, comme des routeurs.

Tous ces exemples sont révélateurs de la volonté des espions de décoder de grandes masses d’informations chiffrées, pour s’adapter à l’évolution d’Internet où les échanges ont de plus en plus souvent recours à cette technique. Dans un document Snowden publié par Der Spiegel, où le chiffrement est présenté comme une « menace », il est ainsi écrit : « il y a de cela 20 ans, le fait que des communications soient chiffrées signifiait qu’elles renfermaient très probablement des renseignements d’une puissance étrangère, car seuls les gouvernements et d’autres cibles importantes avaient les ressources pour acheter ou développer puis implémenter des communications chiffrées. Aujourd’hui, n’importe quel utilisateur d’Internet peut accéder à des pages Web via le système commercial de chiffrement fort fourni par HTTPS, et les entreprises de toute taille peuvent implémenter des réseaux privés virtuels (VPN) permettant à leurs employés d’accéder de façon sécurisée à des données sensibles ou appartenant à l’entreprise, et ce depuis n’importe où dans le monde ». En 2013, les fuites d’Edward Snowden ont permis de mettre au jour l’existence du programme Bullrun, par lequel la NSA tente de casser le plus grand nombre possible de techniques de déchiffrement, via de multiples techniques (influence sur les standards, backdoors ou utilisation de la force brute pour le déchiffrement via les supercalculateurs Tordella et Oak Ridge). Un effort au long cours ; Bullrun existant depuis une décennie selon le document dévoilé par le lanceur d’alertes, une présentation datant de 2010.

En savoir plus sur http://www.silicon.fr/chiffrement-echapper-curiosite-nsa-104793.html#RWuTJu3vyyY1AHoY.99


Mouais, j'ai pas grand chose à cacher donc ça j'men fou
Le #1889341
Safirion a écrit :

J'comprends toujours pas l'intérêt du HTTPS pour des sites/blogs vitrines... mais bon, si maintenant on peut tout chiffrer, why not


Ceci pourrait t'éclairer : http://genma.free.fr/?Https-ca-sert-a-rien
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]