Le chiffrement gratuit du Web est en marche

Le par  |  10 commentaire(s) Source : Let's Encrypt
https

Let's Encrypt émet son premier certificat. L'initiative ambitionne le chiffrement gratuit de tout le Web.

Une étape importante a été franchie pour Let's Encrypt avec la publication de son tout premier certificat électronique SSL / TLS gratuit. L'ambitieux projet avait été dévoilé fin 2014.

Let's-EncryptOpérée par l'Internet Security Research Group (ISRG), l'initiative Let's Encrypt a le soutien de l'Electronic Frontier Foundation (EFF), Mozilla, Cisco, Akamai ainsi que de la Fondation Linux ou encore de l'autorité de certification IndenTrust.

L'objectif final est une autorité de certification pour fournir des certificats SSL / TLS gratuits via une procédure simplifiée et automatisée. De quoi faciliter l'implémentation de HTTPS pour des sites Web qui n'ont pas forcément les ressources nécessaires pour cela.

L'EFF souligne la difficulté de lancer une autorité de certification tant au niveau des fonds que des démarches, et se félicite donc du début de l'aventure pour Let's Encrypt. Néanmoins, le service n'est pas encore largement déployé.

Le premier certificat émis est pour helloworld.lestsencrypt.org. C'est donc un test. Actuellement, un navigateur affiche une alerte pour consulter la page via HTTPS, et l'utilisateur doit installer un certificat racine de l'ISRG. D'ici près d'un mois, IndenTrust devrait valider le certificat et la connexion sécurisée pourra alors se faire sans avertissement du navigateur.

Les webmasters peuvent demander l'ajout de leurs domaines au programme bêta de Let's Encrypt par le biais de ce formulaire. Prochainement, des certificats électroniques de test seront émis pour eux. La disponibilité générale des services de Let's Encrypt est quant à elle prévue pour la semaine du 16 novembre 2015.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1859766
Comme je l'ai déjà dis ... cela pose problème avec certaines régies publicitaire.

Si le régie publicitaire que l'on utilise (je prends l'exemple l'Allosponsor) n'est pas en HTTPS (et pire ne l'envisage même pas) ... et bien cette même régie ne s'affichera pas si votre site web est en HTTPS.

Perso on avait du enlever notre https (gratuit) à cause de cela.
Le #1859772
FRANCKYIV a écrit :

Comme je l'ai déjà dis ... cela pose problème avec certaines régies publicitaire.

Si le régie publicitaire que l'on utilise (je prends l'exemple l'Allosponsor) n'est pas en HTTPS (et pire ne l'envisage même pas) ... et bien cette même régie ne s'affichera pas si votre site web est en HTTPS.

Perso on avait du enlever notre https (gratuit) à cause de cela.


Si j'avais été dans ce cas précis, j'aurais changé de régie.
Le #1859773
ghisb74 a écrit :

FRANCKYIV a écrit :

Comme je l'ai déjà dis ... cela pose problème avec certaines régies publicitaire.

Si le régie publicitaire que l'on utilise (je prends l'exemple l'Allosponsor) n'est pas en HTTPS (et pire ne l'envisage même pas) ... et bien cette même régie ne s'affichera pas si votre site web est en HTTPS.

Perso on avait du enlever notre https (gratuit) à cause de cela.


Si j'avais été dans ce cas précis, j'aurais changé de régie.


Ben je serai pas contre, mais des régies publicitaires qui sont vraiment "rentables" y en a pas 36 en France

(je parle pour des petits sites)
Le #1859776
Espérons aussi qu'il ne se fassent pas pirater comme beaucoup l'ont été il y a quelques années. Il y aurait alors pas mal de dégâts.

http://www.zdnet.fr/actualites/quatre-nouvelles-autorites-de-certification-piratees-39763639.htm


Le #1859786
Moi j'ai une jolie page quand je vais sur leur site de test avec chrome:

Il se peut que des pirates soient en train d'essayer de dérober vos informations sur le site helloworld.letsencrypt.org (par exemple, des mots de passe, des messages ou des informations sur vos cartes de paiement). NET::ERR_CERT_AUTHORITY_INVALID


Le #1859834
Safirion a écrit :

Moi j'ai une jolie page quand je vais sur leur site de test avec chrome:

Il se peut que des pirates soient en train d'essayer de dérober vos informations sur le site helloworld.letsencrypt.org (par exemple, des mots de passe, des messages ou des informations sur vos cartes de paiement). NET::ERR_CERT_AUTHORITY_INVALID




Non, non. C'est normal. C'est écrit en anglais sur la page: L'autorité de certification racine (ISRG Root X1) n'est pas encore installé dans les navigateurs. Cela devrait être fait bientôt (suite donc à des maj de navigateurs).
Mais tu peux l'installer manuellement, comme toute autorité de certification "privée".

Reste à voir quels documents me faudra-t-il présenter pour prétendre obtenir un certificat genre cn=www.mabanque.fr. En cas de succès, cela me sera bien utile pour être l'homme au milieu.
Le #1859838
yam103 a écrit :

Safirion a écrit :

Moi j'ai une jolie page quand je vais sur leur site de test avec chrome:

Il se peut que des pirates soient en train d'essayer de dérober vos informations sur le site helloworld.letsencrypt.org (par exemple, des mots de passe, des messages ou des informations sur vos cartes de paiement). NET::ERR_CERT_AUTHORITY_INVALID




Non, non. C'est normal. C'est écrit en anglais sur la page: L'autorité de certification racine (ISRG Root X1) n'est pas encore installé dans les navigateurs. Cela devrait être fait bientôt (suite donc à des maj de navigateurs).
Mais tu peux l'installer manuellement, comme toute autorité de certification "privée".

Reste à voir quels documents me faudra-t-il présenter pour prétendre obtenir un certificat genre cn=www.mabanque.fr. En cas de succès, cela me sera bien utile pour être l'homme au milieu.


Ah parce que tu aimes être l'homme au milieu ... t'aimes bien les gang bang quoi ?!?!

(loin)
Le #1859841
FRANCKYIV a écrit :

yam103 a écrit :

Safirion a écrit :

Moi j'ai une jolie page quand je vais sur leur site de test avec chrome:

Il se peut que des pirates soient en train d'essayer de dérober vos informations sur le site helloworld.letsencrypt.org (par exemple, des mots de passe, des messages ou des informations sur vos cartes de paiement). NET::ERR_CERT_AUTHORITY_INVALID




Non, non. C'est normal. C'est écrit en anglais sur la page: L'autorité de certification racine (ISRG Root X1) n'est pas encore installé dans les navigateurs. Cela devrait être fait bientôt (suite donc à des maj de navigateurs).
Mais tu peux l'installer manuellement, comme toute autorité de certification "privée".

Reste à voir quels documents me faudra-t-il présenter pour prétendre obtenir un certificat genre cn=www.mabanque.fr. En cas de succès, cela me sera bien utile pour être l'homme au milieu.


Ah parce que tu aimes être l'homme au milieu ... t'aimes bien les gang bang quoi ?!?!

(loin)


Et ouais, DTC mon cher, DTC

Je parlais des attaques MiM bien sur. ça doit te causer.
Bon, je me suis renseigné un peu plus, et ce CA met en place un système ingénieux pour obtenir le certificat: il faut être capable de modifier soit le DNS (et créér une entrée du genre xyz.mabanque.fr), soit un fichier accessible http://www.mabanque.fr/xyz avec un contenu en rapport avec le challenge du CA. Pour résumer, il faut quand même bien pirater mabanque.fr avant de pouvoir choper un certificat valide.

Le #1859914
Tout part de là, ou est supposé comme tel !
http://www.apprendre-en-ligne.net/crypto/lexique.html
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]