_LX_ Posté(e) le 14 novembre Signaler Posté(e) le 14 novembre Bonjour, Même si je comprends les limitations techniques, plus importantes pour mettre en place https par rapport à ipv6 comme cité par tkr1 : car il faut plus d'infra, typiquement une pki avec une chaine CA, reconfigurer les serveurs http, stocker les certificats.. ça ne me semble pas être qqchose d'impossible à réaliser en interne et ne devrait pas prendre des années... À noter également qu'ils utilisent Let's encrypt pour leur site vitrine qui est gratuit. Et utilisent Digicert pour les sites business (mobile et abos freebox). D'ailleurs c'est le même certificat wildcard qui est utilisé pour ces domaines (*.free.fr) Le problème technique et la raison d'implémenter totalement une PKI est que ces certificats wildcard (joker) ne peuvent englober plus d'une centaine ou quelques centaines de sous domaines (a priori 250 pour digicert et 100 pour let's encrypt). Exemples de sous domaines free : - pageperso1.free.fr - pageperso2.free.fr - subscribe.free.fr Ce qui peut en revanche prendre des années (et est très loin d'être gratuit !) c'est d'enregistrer sa chaîne de serveurs d'autorité de certification auprès d'un tiers validé par les majeurs du web (gafams, navigateurs web etc.) la Root CA. Ces quelques acteurs, organisés en consortium, ne signent pas n'importe quel CA qui le demanderait. Le processus est long et coûteux... C'est tout leur business model justement et ces acteurs sont étroitement couplés aux OS (microsoft) et aux principaux navigateurs. En gros plusieurs logiciels (dans le cas qui nous intéresse les navigateurs web) embarquent des certificats racine (root ca) qui permettent de vérifier les signatures des CA qui eux délivrent les certificats, en très gros, je shématise : la CA signe le certificat et le root CA signe le certificat de la CA. Ensuite, grâce aux clés publiques (certificats) embarquées par les différents logiciels (navigateurs) les signatures (générées par clés privés) peuvent être rejouées et vérifiées. À mon avis c'est à ce niveau que cela coince, il faut être capable de prouver, par différents audits (qui semble-t-il sont facturé très cher) que la CA est securisée et de confiance etc. Et une fois validé (a priori c'est les 12 travaux d'astérix car on parle du top of the top, la crème de la crème, d'avoir des certificats qui peuvent ensuite être trustés de manière automatique par tous les navigateurs sur quasi tous les sytèmes connus et tous les appreils numériques, pc, smartphone, tablettes, télés, serveurs, etc.). Bref des contrats juteux, mis bout à bout je pense (à la louche) qu'on parle en millions de dollars, donc pour un service gratuit... Citer
mecano91 Posté(e) le 14 novembre Signaler Posté(e) le 14 novembre Bonjour, Même si je comprends les limitations techniques, plus importantes pour mettre en place https par rapport à ipv6 comme cité par tkr1 : car il faut plus d'infra, typiquement une pki avec une chaine CA, reconfigurer les serveurs http, stocker les certificats.. ça ne me semble pas être qqchose d'impossible à réaliser en interne et ne devrait pas prendre des années... À noter également qu'ils utilisent Let's encrypt pour leur site vitrine qui est gratuit. Et utilisent Digicert pour les sites business (mobile et abos freebox). D'ailleurs c'est le même certificat wildcard qui est utilisé pour ces domaines (*.free.fr) Le problème technique et la raison d'implémenter totalement une PKI est que ces certificats wildcard (joker) ne peuvent englober plus d'une centaine ou quelques centaines de sous domaines (a priori 250 pour digicert et 100 pour let's encrypt). Exemples de sous domaines free : - pageperso1.free.fr - pageperso2.free.fr - subscribe.free.fr Ce qui peut en revanche prendre des années (et est très loin d'être gratuit !) c'est d'enregistrer sa chaîne de serveurs d'autorité de certification auprès d'un tiers validé par les majeurs du web (gafams, navigateurs web etc.) la Root CA. Ces quelques acteurs, organisés en consortium, ne signent pas n'importe quel CA qui le demanderait. Le processus est long et coûteux... C'est tout leur business model justement et ces acteurs sont étroitement couplés aux OS (microsoft) et aux principaux navigateurs. En gros plusieurs logiciels (dans le cas qui nous intéresse les navigateurs web) embarquent des certificats racine (root ca) qui permettent de vérifier les signatures des CA qui eux délivrent les certificats, en très gros, je shématise : la CA signe le certificat et le root CA signe le certificat de la CA. Ensuite, grâce aux clés publiques (certificats) embarquées par les différents logiciels (navigateurs) les signatures (générées par clés privés) peuvent être rejouées et vérifiées. À mon avis c'est à ce niveau que cela coince, il faut être capable de prouver, par différents audits (qui semble-t-il sont facturé très cher) que la CA est securisée et de confiance etc. Et une fois validé (a priori c'est les 12 travaux d'astérix car on parle du top of the top, la crème de la crème, d'avoir des certificats qui peuvent ensuite être trustés de manière automatique par tous les navigateurs sur quasi tous les sytèmes connus et tous les appreils numériques, pc, smartphone, tablettes, télés, serveurs, etc.). Bref des contrats juteux, mis bout à bout je pense (à la louche) qu'on parle en millions de dollars, donc pour un service gratuit...Let’s Encrypt n’est pas vraiment gratuit pour Free car ils font partie des entreprises qui financent l'initiative Envoyé de mon 2407FPN8EG en utilisant Tapatalk Citer
_LX_ Posté(e) le 15 novembre Signaler Posté(e) le 15 novembre Qui ont financé l'initiative* 😜 C'était en 2016 il y a 8 ans, rien depuis il me semble... et apriori le 50k qu'ils ont lâché ne leur a pas permis d'avoir un certificat wildcard illimité en sous domaines 🤷♂️ Citer
mecano91 Posté(e) le 15 novembre Signaler Posté(e) le 15 novembre Qui ont financé l'initiative* C'était en 2016 il y a 8 ans, rien depuis il me semble... et apriori le 50k qu'ils ont lâché ne leur a pas permis d'avoir un certificat wildcard illimité en sous domaines Celui qu'ils utilisent pour les noms de domaine pour l'accès direct aux Freebox a les mêmes limitation ? Car il me semble qu'ils passent par lets'encrypt un retour de leurs financement ils me semble Envoyé de mon 2407FPN8EG en utilisant Tapatalk Citer
_LX_ Posté(e) jeudi à 21:33 Signaler Posté(e) jeudi à 21:33 @mecano91 Oui ils ont tous ce genre de limitation il me semble, d'où l'intérêt de monter une PKI en interne après le gros problème c'est d'être reconnu par une entité racine pour que le déploiement soit automatique / transparent pour les utilisateurs (et comme dis plus haut je pense que c'est à ce niveau que cela coince ou que ça prend du temps+ pas mal d'argent) Affaire à suivre, c'est vrai que cela serait top ! Citer
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.