Bonjour !
J’ai installé Discourse Ready VPS sur DigitalOcean. Mon site web fonctionne en HTTPS. Je suppose que c’est Let’s Encrypt gratuit. Est-ce vraiment sécurisé ? J’ai également acheté Comodo SSL. Lorsque je souhaite créer un certificat sur le panneau Comodo, il me demande mon code CSR. Comment puis-je créer un CSR ? Ou est-ce que je fais quelque chose de mal ? C’est la première fois que je fais cela. Veuillez m’orienter.
Le certificat SSL généré par Discourse est émis par Let’s Encrypt et est très sécurisé.
Cependant, si vous souhaitez configurer votre propre certificat SSL, suivez ces instructions :
Il n’y a aucune différence du point de vue de la sécurité entre Let’s Encrypt et Comodo. Le chiffrement pris en charge est identique. La seule différence est que l’un est gratuit et automatique, tandis que l’autre est payant et doit être renouvelé manuellement. À moins d’avoir une très, très bonne raison de nécessiter un certificat payant, restez avec Let’s Encrypt et évitez-vous des maux de tête (et économisez de l’argent).
Let’s Encrypt pour toujours ? Ou faut-il faire autre chose annuellement, comme un renouvellement ?
Il se renouvelle automatiquement tous les trois mois. C’est gratuit. Et ça marche.
Il n’y a aucune raison d’acheter des certificats pour votre installation Discourse.
Un certificat est un certificat*, et Comodo est bien établi comme un acteur néfaste dans ce domaine en raison de sa campagne incessante de FUD contre Let’s Encrypt (à tel point qu’ils ont utilisé leur propre navigateur web pour marquer les sites utilisant des certificats Let’s Encrypt comme « non sécurisés », ou tenté de déposer la marque Let’s Encrypt eux-mêmes). Le certificat ne détermine ni le type ni la force du chiffrement utilisé. En résumé, utilisez le certificat de Let’s Encrypt ; il n’y a tout simplement aucun besoin pour autre chose.
*Enfin, presque. Les certificats peuvent être DV (validation de domaine), OV (validation d’organisation) ou EV (validation étendue), différant par ce qu’ils valident (et, naturellement, par leur coût). Un certificat DV valide qu’il appartient bien au domaine qu’il indique. Un certificat OV valide qu’il appartient à l’organisation qu’il indique (bien que rien ne vous l’indique dans un navigateur sauf si vous examinez les détails du certificat). Un certificat EV fait la même chose qu’un certificat OV, mais de manière plus poussée — et historiquement, il affichait la « barre verte » dans le navigateur, bien que cela disparaisse prochainement. Aucune variété de certificat ne valide que son propriétaire est une « bonne personne », et il n’y a absolument aucune différence dans les niveaux de chiffrement entre eux.
Let’s Encrypt y parvient efficacement en validant le nom DNS lors de l’inscription.
Chrome 77 a supprimé la barre verte. À titre de référence, nous sommes actuellement sur la version 78.x en release et 79.x en bêta.
C’est pourquoi j’ai dit « historiquement ». Elle a disparu dans Chrome, mais elle est toujours présente dans Firefox et IE (les seuls autres navigateurs que je peux tester facilement pour le moment).
Cela a également disparu de la barre d’adresse dans Firefox 70, qui est sorti le mois dernier. C’est aussi disparu de Safari.
Je ne suis pas sûr qu’IE compte encore comme un navigateur, avec une part de marché de 1,98 % en octobre 2019.
Je pense que nous pouvons confirmer que l’EV est définitivement mort à ce stade.
Et qu’en est-il de Microsoft Edge ?
2,05 %, soit moins que le navigateur préinstallé que Samsung livre sur ses téléphones Galaxy (3,29 %).
Sa part de marché est à égalité avec Internet Explorer ? Cela voudrait-il dire qu’il ne compte plus vraiment comme un navigateur non plus ?
D’où le passage de Microsoft d’Edge vers Chromium le 15 janvier 2020.
Ah, oui. Nous verrons bien comment cela se passe.
D’accord. Il sera intéressant (et alternativement amusant et frustrant, sans aucun doute) de voir quels autres arguments de vente les CAs vont trouver pour essayer de les vendre, bien sûr.
L’EV est arrivé à un moment où la PKI n’était pas bien comprise, le SSL était considéré comme réservé uniquement au « commerce électronique » et le hameçonnage connaissait une forte augmentation.
J’appréciais l’idée d’ajouter de la confiance ; ce sont vraiment les AC qui ont tout gâché.
Let’s Encrypt représente une énorme menace pour ces acteurs, et ce pour toutes les bonnes raisons.