Reply to the list, c'est mieux :).
Le 2016-04-12 11:01, ay pierre a écrit :
bonjour,
Bonjour,
que penser vous du projet let's encrypt est suffisant pour sécurisé
un
site web sur lequel transit certaine information confidentiel?
Question à mon sens mal formulée.
1/ Sur le plan technique : La sécurité dépends de ta clef, et de ta
politique de sécurité.
Que ce soit du auto signé ou autre, le chiffrement se fait sur la base
de ta clef privée / clef publique.
2/ Sur le plan "vu par l'utilisateur" :
Lets encrypt est un certificat reconnu par plusieurs navigateurs, mais
certificat n'ayant eu comme vérification que le domaine.
De ce fait, tu a une chaine de confiance 'faible'.
Les autres validations sont : La personne (par téléphone) jusqu'a le
kbis + .... + vérification visuelle de la personne (genre certificats
pour les banques etc).
L'effet visible pour le client, soit le cadenas est rayé, soit la barre
est verte, avec le nom de ta boite dedans. (ex les banques).
==> Que veux tu comme image de marque?
3/ sur le plan assurance :
Pour toi :
Dans le cas de lets encrypt, pas d'assurance associée. Nécéssité de le
renouveller tous les 3 mois.
Si tu prends une rolls des certificat, tu a une assurance pour si ton
client se fait voler sa CB.
==> Que veux tu comme assurance?
4/ Mon opinion perso :
Pour mon site web / extranet etc, letsencrypt est largement suffisant.
Pas besoin de me faire chier à avoir une barre verte. Et vu que je ne
fait pas transiter de CB ou autre, je n'ai pas besoin d'assurance.
Voila :).
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/
