Je rejoins ceux qui disent qu'un certificat payant est identique en service rendu à Letsencrypt.
De mon côté je préviens néanmoins les clients d'une chose peut importe l'autorité de certification. Quand une autorité émet un certificat illégitime elle se fait radier des navigateurs pour la partie web et des certificats racines des OS. On a déjà vu arriver cela à des autorités payantes avec des gars qui je suppose, savent la sanction qui arriverait s'ils développaient mal leurs API ou parcours achat. Letsencrypt aussi génial que c'est, permet de tester en illimité ou presque le processus de validation. Je n'espère pas mais je pense néanmoins que le risque que cela arrive est non nul, lorsque quelqu'un trouvera une faille et émettra des certificats gmail.com et consorts. Cela a beau être soutenu par Google, Mozilla, ... ils seront obligés d'être exemplaires et d'appliquer la même sanction à savoir retirer l'autorité dans les nav et les OS. Ce que je dis donc à mes clients, oui on vous met un Letsencrypt, par contre il y a un risque à mon sens un peu plus élevé que cette autorité soit bannie du jour au lendemain. On sera là pour acheter des certificats ailleurs mais on aura pas mal de taf en quelques heures pour tous les remplacer ... En toute logique aussi, une grosse autorité attire aussi la volonté de certains de la faire tomber. Plus c'est gros plus c'est visible, médiatiquement un pirate qui fait tomber Letsencrypt aura fait un beau coup. Et le jour où ça arrive j'espère qu'il restera encore quelques autorités sans tarifs abusifs. Eux par contre attendent que cela, ssl obligatoire partout, tout le monde l'adopte avec Letsencrypt, ça tombe les gens ne peuvent revenir en arrière, obligé d'acheter ... Pourvu que cela n'arrive pas.
signature.asc
Description: OpenPGP digital signature
_______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
