Nioub2e a écrit:Je ne pensais pas qu'être un CA était "ouvert à tous", il doit y avoir un sacré boulot la derrière.
oui ds l'absolu tout le monde peu faire sa propre CA ... mais comme tu peux t'en douter ce n'est pas un jeu d'enfant lol
sans compter l'investissement énorme tant en temps qu'en ressources
Nioub2e a écrit:Combien de certificats peuvent être émis par jours par utilisateurs/serveurs ?
ds l’absolu il n'y a aucunes limites ... mon but avec ce projet c'est que tout et tout le monde soit sous ssl tant online que offline ... bon après si un mec me demandes 50 certif par jours la je vais commencer a me poser des questions lol
Nioub2e a écrit:ça peut vraiment être intéressent, jusqu'ici j'utilisais Let's Encrypt pour certains sites web et panel d'administrations.
Mais là avec tous ces complément en plus
je ne te le fait pas dire !
perso j'utilise aussi Let's Encrypt pour le fofo ( pas vraiment le choix non plus ) mais je reste très dubitatif a leur sujet ... déjà y sont aux USA ... le protocol acme c cool je dit pas mais bon tu leurs laisses une porte ouverte chez toi pour injecter tes certifs ... tout automatisé c la porte ouverte aux faux certifs ... etc etc ... seul avantage reel pour le grand public leur root est contre signé par la DST Root CA X3 ce ki fait ki sont direct reconnu par les os et navigateur sans devoir installer manuellement leur root ( louche aussi pour un truc gratos quand on sais que ça coute en moyenne 70 000€ + 90 000€ pour l'audit et la contre signature ... sans parler du prix des serveurs et du matos cryptographique pour sécuriser le key ... on va dire y ont des gros sponsor maintenant ( facebook etc super lol ) ce ki justifie ce genre de dépenses on va dire mais c’était pas le cas a leur début ... enfin soit )
sinon pour revenir a ce qui nous intéresse ici je veux vous proposer tout ce qui existe SSL, S/MIME, code signing ... la totale koi et sans restrictions ( style le cab forum ki a interdit de faire des certif pour les ip et host interne ... bin oui ca va faire vendre encore plus de nom de domaines a leur potos !!!! et permettes aux CA les plus pingres de vendre des certif ki le font quand même mais sous un autre nom et encore plus cher !!! qui a dit mafia ?!?! ha oui c moi lol )
et surtout du 100% local ( les serveurs sont a moi, en local, je suis le seul a y avoir un accès physique, pareil pour le matos cryptographique et les root sont en coffre fort secret éloigné de plusieurs 10aine de kilomètres en plus d’être déjà sur support cryptographique ), 100% open source pour le soft et le hardware crypto que j'utilise, 100% made in EU et 0 compromis avec la sécurité ( pas de partages des secrets etc )
je suis aussi le seul en mesure d'utiliser nos key et ce uniquement en local ... ça évites pas mal de soucis ! même si ça me fait du taf en plus ...
je sais j'ai poussé le vice un peu loin mais je veux un contrôle total sur toutes les phases critiques de la production des certifs ... comme dit plus haut 0 compromis avec votre sécurité !
si t'as des questions hésite surtout pas !
08 Février 2017, 10:39
SitemapIndex
Flux RSS