The Forum
You are not logged in.
#1 18 Jul 2009 12:41:23
Utilisation de SSL pour Swisslinux.org
Bonjour,
suit à discussion avec diverses personnes, je me suis demandé s'il l'on ne devrait pas mettre du SSL sur notre site, au moins pour le système de login.
Voilà un extrait de la dernière discussion avec Bluewhisper :
> J'avais encore une question à propos du site web, on se demandait si on ne
> devrait (pourrais) pas mettre le système de login sous SSL. Mais, je ne sais
> pas comment ça marche avec les certificats, il ne faudrait pas que les gens
> doivent accepter manuellement le certificat.
En soi, faire du SSL n'est pas vraiment difficile. Par contre il y a un coût:
- il faut le certificat reconnu (un certificat godaddy, 27$/année si on prend pour
au moins 2 ans. Il y en a peut-être de moins cher...)
- il faut une ip dédiée (environ 40CHF/an). Cela peut toutefois avoir d'autres avantages (genre vhost automatiques), et
reverse, vu qu'elle ne sera que pour vous.
Donc, compter environ 70CHF/an pour du ssl... c'est pas donné mais
c'est utile, à vous de voir...
Qu'en pensez-vous ? Est-ce qu'il faut investir de l'argent dans un certificat SSL ?
Offline
#2 18 Jul 2009 13:05:54
Re: Utilisation de SSL pour Swisslinux.org
Hello,
Sans entrer dans les détails, monter une attaque sur un SSL auto-signé est considérablement plus difficile en pratique que sur un site en clair.
Bien sur, un jour ou l'autre on trouvera des outils faciles et de qualité pour monter l'attaque MITM (pour l'instant, de ce que j'ai vu, ca demande encore pas mal de bricolage).
En attendant, je pense qu'un SSL auto-signé augmente considérablement la sécurité pour un utilisateur raisonnablement compétent, et que c'est une alternative préférable à pas de SSL du tout, si on décide de ne pas investir dans un certificat reconnu.
Offline
#3 18 Jul 2009 13:57:04
- BlueWhisper
- Humain(e) libre
- Registered: 19 Jan 2005
- Posts: 48
- Website
Re: Utilisation de SSL pour Swisslinux.org
Tant qu'à faire du "pas-vraiment-reconnu" par les browser, autant prendre du cacert alors... J'aime pas trop les auto-signé personnellement...
Offline
#4 18 Jul 2009 14:00:54
Re: Utilisation de SSL pour Swisslinux.org
Le but est d'éviter aussi d'inciter les gens à une mauvaise pratique avec les certificats SSL. En effet, on a beaucoup de débutant, et si on leur dit "allez-y acceptez notre certificat", on risque un peu de montrer le mauvais exemple, non ?
Cacert, pourquoi pas, j'y avais aussi pensé.
Offline
#5 18 Jul 2009 14:38:10
Re: Utilisation de SSL pour Swisslinux.org
Je sais pas si c'est vraiment une nécessité pour un site comme SLo...
Offline
#6 18 Jul 2009 15:38:09
Re: Utilisation de SSL pour Swisslinux.org
Hello,
fbianco: c'est vrai que c'est un aspect négatif, et c'est pour ça que l'accès en ssl devrait être facultatif.
Mais même si on ne le fait pas, il n'est pas évident que "donner de mauvaises habitudes" crée un danger supérieur à laisser plein d'informations transiter en clair: d'une part l'attaque MITM est beaucoup, beaucoup plus compliquée, d'autre part les certificats reconnus ne sont pas automatiquement plus sûrs (http://eprint.iacr.org/2005/067.pdf)
Autre chose à ne pas oublier: si DNSSec se met en place, les CA ne seront plus bonnes à grand chose, à part pour les certificats "extended validation" (qui coutent beaucoup plus cher)
Offline