>> Michel Py a écrit : >> En plus que, même pour un site perso, on peut s'offrir un certificat >> commercial.
> Stephane Bortzmeyer a écrit : > Sauf que le problème n'est en fait pas un problème de certificat. Un Android > pas mis à jour depuis cinq ans > aura des tas d'autres problèmes avec TLS, comme l'impossibilité d'utiliser > les versions récentes ou bien les > algorithmes récents. J'ai chez moi une tablette Android pas mettable à jour > qui est d'ores et déjà > inutilisable sur l'Internet car limitée à TLS 1.0. Donc, le problème n'est > pas spécifique à Let's Encrypt. Correct, mon point était que, et malgré que je supporte intellectuellement Let's Encrypt, çà ne vaut pas un emmerdement supplémentaire pour économiser $6 par an. Si j'avais un besoin d'utiliser TLS 1.0, je l'aurais laissé activé, au contraire du reste du "security circus" qui pousse à la consommation en désactivant ce qui est un peu démodé. Google et consorts (tous dans le même bateau, ou presque) qui ne mettent pas à jour c'est pour une raison qui n'a rien a voir avec la sécurité : çà fait marcher le commerce. > Florent CARRÉ a écrit : > Quand je parlais des certificats payants en terme de sécurité, je voulais > surtout le dire sur la > validation/certification de la personne ou entreprise cliente. Tu prends les > infos venant de letsencrypt, > tu ne sais rien, il n'y a rien du tout. Tu prends un DV ou mieux un OV et on > voit la différence. Moi je vois que dalle. > Se rappeler du "warranty" quand on prend un certificat payant, cela n'existe > pas dans letsencrypt. Cà sert à rien. > Michel 'ic' Luczak a écrit : > Ou comment foutre son argent par la fenêtre pour un EV qui ne sert à rien... > par ailleurs les navigateurs ont laissé tomber la “barre verte” récemment. +1 > Thomas Gaudin a écrit : > Même question pour les "assurances" sur les certificats : ça sert à quoi ? > Apparemment pas grand-chose +1 Michel. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
