Aller au contenu
Free-reseau.fr - Les forums

Messages recommandés

Posté(e)

Bonjour,

Même si je comprends les limitations techniques, plus importantes pour mettre en place https par rapport à ipv6 comme cité par tkr1 : car il faut plus d'infra, typiquement une pki avec une chaine CA, reconfigurer les serveurs http, stocker les certificats.. ça ne me semble pas être qqchose d'impossible à réaliser en interne et ne devrait pas prendre des années...

À noter également qu'ils utilisent Let's encrypt pour leur site vitrine qui est gratuit.

Et utilisent Digicert pour les sites business (mobile et abos freebox). D'ailleurs c'est le même certificat wildcard qui est utilisé pour ces domaines (*.free.fr)

Le problème technique et la raison d'implémenter totalement une PKI est que ces certificats wildcard (joker) ne peuvent englober plus d'une centaine ou quelques centaines de sous domaines (a priori 250 pour digicert et 100 pour let's encrypt). Exemples de sous domaines free :

- pageperso1.free.fr
- pageperso2.free.fr
- subscribe.free.fr



Ce qui peut en revanche prendre des années (et est très loin d'être gratuit !) c'est d'enregistrer sa chaîne de serveurs d'autorité de certification auprès d'un tiers validé par les majeurs du web (gafams, navigateurs web etc.) la Root CA. Ces quelques acteurs, organisés en consortium, ne signent pas n'importe quel CA qui le demanderait. Le processus est long et coûteux... C'est tout leur business model justement et ces acteurs sont étroitement couplés aux OS (microsoft) et aux principaux navigateurs.

En gros plusieurs logiciels (dans le cas qui nous intéresse les navigateurs web) embarquent des certificats racine (root ca) qui permettent de vérifier les signatures des CA qui eux délivrent les certificats, en très gros, je shématise : la CA signe le certificat et le root CA signe le certificat de la CA.
Ensuite, grâce aux clés publiques (certificats) embarquées par les différents logiciels (navigateurs) les signatures (générées par clés privés) peuvent être rejouées et vérifiées.


À mon avis c'est à ce niveau que cela coince, il faut être capable de prouver, par différents audits (qui semble-t-il sont facturé très cher) que la CA est securisée et de confiance etc. Et une fois validé (a priori c'est les 12 travaux d'astérix car on parle du top of the top, la crème de la crème, d'avoir des certificats qui peuvent ensuite être trustés de manière automatique par tous les navigateurs sur quasi tous les sytèmes connus et tous les appreils numériques, pc, smartphone, tablettes, télés, serveurs, etc.).

Bref des contrats juteux, mis bout à bout je pense (à la louche) qu'on parle en millions de dollars, donc pour un service gratuit...

Posté(e)
Bonjour,

Même si je comprends les limitations techniques, plus importantes pour mettre en place https par rapport à ipv6 comme cité par tkr1 : car il faut plus d'infra, typiquement une pki avec une chaine CA, reconfigurer les serveurs http, stocker les certificats.. ça ne me semble pas être qqchose d'impossible à réaliser en interne et ne devrait pas prendre des années...

À noter également qu'ils utilisent Let's encrypt pour leur site vitrine qui est gratuit.

Et utilisent Digicert pour les sites business (mobile et abos freebox). D'ailleurs c'est le même certificat wildcard qui est utilisé pour ces domaines (*.free.fr)

Le problème technique et la raison d'implémenter totalement une PKI est que ces certificats wildcard (joker) ne peuvent englober plus d'une centaine ou quelques centaines de sous domaines (a priori 250 pour digicert et 100 pour let's encrypt). Exemples de sous domaines free :

- pageperso1.free.fr
- pageperso2.free.fr
- subscribe.free.fr



Ce qui peut en revanche prendre des années (et est très loin d'être gratuit !) c'est d'enregistrer sa chaîne de serveurs d'autorité de certification auprès d'un tiers validé par les majeurs du web (gafams, navigateurs web etc.) la Root CA. Ces quelques acteurs, organisés en consortium, ne signent pas n'importe quel CA qui le demanderait. Le processus est long et coûteux... C'est tout leur business model justement et ces acteurs sont étroitement couplés aux OS (microsoft) et aux principaux navigateurs.

En gros plusieurs logiciels (dans le cas qui nous intéresse les navigateurs web) embarquent des certificats racine (root ca) qui permettent de vérifier les signatures des CA qui eux délivrent les certificats, en très gros, je shématise : la CA signe le certificat et le root CA signe le certificat de la CA.
Ensuite, grâce aux clés publiques (certificats) embarquées par les différents logiciels (navigateurs) les signatures (générées par clés privés) peuvent être rejouées et vérifiées.


À mon avis c'est à ce niveau que cela coince, il faut être capable de prouver, par différents audits (qui semble-t-il sont facturé très cher) que la CA est securisée et de confiance etc. Et une fois validé (a priori c'est les 12 travaux d'astérix car on parle du top of the top, la crème de la crème, d'avoir des certificats qui peuvent ensuite être trustés de manière automatique par tous les navigateurs sur quasi tous les sytèmes connus et tous les appreils numériques, pc, smartphone, tablettes, télés, serveurs, etc.).

Bref des contrats juteux, mis bout à bout je pense (à la louche) qu'on parle en millions de dollars, donc pour un service gratuit...
Let’s Encrypt n’est pas vraiment gratuit pour Free car ils font partie des entreprises qui financent l'initiative

Envoyé de mon 2407FPN8EG en utilisant Tapatalk

Posté(e)

Qui ont financé l'initiative* 😜

C'était en 2016 il y a 8 ans, rien depuis il me semble...


et apriori le 50k qu'ils ont lâché ne leur a pas permis d'avoir un certificat wildcard illimité en sous domaines 🤷‍♂️

Posté(e)
Qui ont financé l'initiative* 

C'était en 2016 il y a 8 ans, rien depuis il me semble...

et apriori le 50k qu'ils ont lâché ne leur a pas permis d'avoir un certificat wildcard illimité en sous domaines 
Celui qu'ils utilisent pour les noms de domaine pour l'accès direct aux Freebox a les mêmes limitation ? Car il me semble qu'ils passent par lets'encrypt un retour de leurs financement ils me semble

Envoyé de mon 2407FPN8EG en utilisant Tapatalk

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

Chargement
×
×
  • Créer...