S. Bortzmeyer ✅ utilise mastodon.gougere.fr. Vous pouvez læ suivre et interagir si vous possédez un compte quelque part dans le "fediverse". Si ce n’est pas le cas, vous pouvez en créer un ici.
S. Bortzmeyer ✅ @bortzmeyer

Beaucoup de gens utilisent désormais l'AC . Ce n'est pas la première autorité de certification qui permet d'avoir un certificat en faisant tout en ligne, ni la première gratuite, mais elle est néanmoins très utilisée. Par défaut, les outils Let's Encrypt comme créent une nouvelle clé quand le certificat est renouvelé. Dans quels cas est-ce gênant et comment éviter cela ?

bortzmeyer.org/letsencrypt-cer

· Web · 27 · 23

@bortzmeyer En quoi considérer que Let's Encrypt puisse devenir un SPOF ? En matière d'intégrité ? Si l'AC est compromise et qu'elle est révoquée ?

@MarcFramboisier Ou bien en cas de panne (comme ses certificats ont une très courte durée de vie) empêchant le renouvellement.

@bortzmeyer j'ai du mal à imaginer des scénarios où changer de clé n'est pas souhaitable... C'est même dans les bonnes pratiques.

@ScriptFanix Pas besoin d'imaginer, j'ai donné trois exemples dans mon article.

@bortzmeyer j'avoue, j'ai pas encore lu. Je te dois donc une 🍺

@bortzmeyer L'option suivante est de générer le TLSA et de gérer la transition. (oui je sais que c'est plus complexe que de juste remplacer l'enregistrement).

@R1Rail Très complexe, oui, notamment en raison des caches DNS (cf. le problème qu'est le remplacement d'une clé DNSSEC).

@bortzmeyer quand j'aurai le temps, je regarderai (mais oui il faudra regarder les algorithmes utilisés pour le rollover de clef dans les softs DNSSEC)

@bortzmeyer Très bon article. Petite remarque, tu donnes un exemple qui utilise les courbes elliptiques "conseillées" par le NIST (P-256). Certains supposent que ces courbes n'auraient pas été choisies au hasard, mais en partenariat avec la NSA...
Donc à utiliser avec prudence selon le niveau de sécurité souhaité.
Petite lecture:
rochestersecurity.org/wp-conte

@chaucho Les courbes Bernstein sont encore peu acceptées dans les bibliothèques TLS qu'on trouve dans la nature.

Et puis, soyons sérieux, si le principal problème de sécurité est la courbe P-256, c'est qu'on est déjà dans les 0,001 % de sites TLS les plus sûrs :-)

@bortzmeyer Bien sur je suis entièrement d'accord que pour la majorité des utilisateurs, c'est un niveau largement suffisant. Mais c'est en connaissant les limites et les risques que chacun peu décider si le niveau de sécurité de l'outil convient à son besoin ou pas.
Moi j'attends avec impatience la création du label "sécurité de niveau militaire" (label utilisé dans tous les bons films hollywoodiens)