Si la question se pose effectivement, je ne serais pas si alarmiste.
Les certificats sont générés pour 3 mois. La doc de Let'sEncrypt conseille de lancer cerbot --renew tous les jours, il ne fera rien si le certificat est a plus d'un mois de son expiration, et le renouvelle 1 mois avant son expiration.
Donc si on les monitore correctement, on peut voir le problème un mois avant que le site soit entièrement indisponible.
Comme alternative, il y a quand même… tout ce qui existait avant Let'sEncrypt. On trouve toujours des marchands de certificats « legacy » (sauf ceux qui se font retirer des navigateurs parce qu'ils font de la merde). Pour des sites importants, on en trouve dans tes tarifs abordables… même si j'en connais qui (re-)vendent des certificats pour plusieurs centaines d'euros.
Enfin, c'est loin d'être le seul « SPOF de l'Internet » : cloudflare, amazon s3,…
Le protocole ACME étant disponible, il est possible de créer d'autre service de type letsencrypt. Il n'y a que l'adresse du serveur et l'adresse de la license à modifier dans certbot ou autre pour utiliser un autre serveur ( c'est d'ailleurs déjà possible pour tester la mise en place d'un certificat bidon via une adresse de serveur de test ).
On pourrais même signer par plusieurs authorités le même certificat permettant de reduire ce SPOF.
Le problème c'est pas de créer le service, c'est qu'il soit intégré dans la liste des autorités de certification reconnues par les navigateurs web. Distribuer des certificats c'est bien, mais s'ils ne sont reconnus par personne ça ne sert pas à grand chose.
Effectivement, faire signer le même certificat par plusieurs autorités semble être une bonne idée. Comme ça ça fonctionne tant que au moins une d'entre elles est reconnue.
On voit ici un ratio de site utilisant letsencrypt. Mais combien de site sont disponibles en HTTPS depuis letsencrypt alors qu'ils n'étaient disponible qu'en http avant ou avec un certificat non reconnu ?
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
# Mouais
Posté par kna . Évalué à 5.
Si la question se pose effectivement, je ne serais pas si alarmiste.
Les certificats sont générés pour 3 mois. La doc de Let'sEncrypt conseille de lancer
cerbot --renewtous les jours, il ne fera rien si le certificat est a plus d'un mois de son expiration, et le renouvelle 1 mois avant son expiration.Donc si on les monitore correctement, on peut voir le problème un mois avant que le site soit entièrement indisponible.
Comme alternative, il y a quand même… tout ce qui existait avant Let'sEncrypt. On trouve toujours des marchands de certificats « legacy » (sauf ceux qui se font retirer des navigateurs parce qu'ils font de la merde). Pour des sites importants, on en trouve dans tes tarifs abordables… même si j'en connais qui (re-)vendent des certificats pour plusieurs centaines d'euros.
Enfin, c'est loin d'être le seul « SPOF de l'Internet » : cloudflare, amazon s3,…
[^] # Re: Mouais
Posté par KiKouN . Évalué à 3.
Le protocole ACME étant disponible, il est possible de créer d'autre service de type letsencrypt. Il n'y a que l'adresse du serveur et l'adresse de la license à modifier dans certbot ou autre pour utiliser un autre serveur ( c'est d'ailleurs déjà possible pour tester la mise en place d'un certificat bidon via une adresse de serveur de test ).
On pourrais même signer par plusieurs authorités le même certificat permettant de reduire ce SPOF.
[^] # Re: Mouais
Posté par pulkomandy (site web personnel, Mastodon) . Évalué à 7.
Le problème c'est pas de créer le service, c'est qu'il soit intégré dans la liste des autorités de certification reconnues par les navigateurs web. Distribuer des certificats c'est bien, mais s'ils ne sont reconnus par personne ça ne sert pas à grand chose.
Effectivement, faire signer le même certificat par plusieurs autorités semble être une bonne idée. Comme ça ça fonctionne tant que au moins une d'entre elles est reconnue.
# ratio vs chiffres brutes
Posté par claudex . Évalué à 3.
On voit ici un ratio de site utilisant letsencrypt. Mais combien de site sont disponibles en HTTPS depuis letsencrypt alors qu'ils n'étaient disponible qu'en http avant ou avec un certificat non reconnu ?
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.