Le 14/03/2024 à 19:47, William FERRES a écrit :
Alors, aux dernières nouvelles, Let's Encrypt fournit des API. Nous avons
ensuite la liberté d'utiliser le client de notre choix pour communiquer avec.
C'est pareil, le temps que je passerais à développer un traitement utilisant ces
API n'est pas justifiable par rapport à une dépense annuel d'une dizaine d'euros.
Il est tout à fait possible d'auditer le code desdits clients vu qu'une grande
majorité sont Open Source et disponibles sur GitHub ou autre plateforme.
Oui, c'est théoriquement /possible/ d'auditer un code "open source" mais en
pratique non. Du moins cela me prendrait plus de temps que de le réécrire moi-même.
Et d'ailleurs, rien ne nous oblige, lors de l'utilisation de Let's Encrypt, de
faire la génération des certificats ailleurs que sur les machines de
production qui les utiliseront. Déporter cette tâche ailleurs est même souvent
une plutôt bonne idée. Personnellement, je ne suis pas fan de laisser un accès
Internet sortant peu filtré sur des serveurs de production...
Le jeudi 14 mars 2024 à 19:28, Laurent Barme <2...@barme.fr> a écrit :
Le 14/03/2024 à 16:37, Pierre-Elliott Bécue a écrit :
Laurent Barme<2...@barme.fr> wrote on 14/03/2024 at 13:39:31+0100:
Le 14/03/2024 à 13:13, Arnaud Launay via FRsAG a écrit :
…
À part sur des équipements sur lesquels tu ne peux pas automatiser la
mise à jour des certificats, et sur lesquels la durée de vie de 90
jours est franchement courte et t'oblige à le faire à la main 5 fois
par an, je ne vois plus aucun avantage de nos jours à prendre des
certificats payants.
…
La mise à jour automatique des certificats LE est un cheval de Troie.
Pas vraiment. Ou alors il va falloir définir ce que tu entends par
cheval de Troie.
Tu as raison : c'est /potentiellement/ un cheval de Troie.
Ce n'est sans doute pas le cas mais je ne peux pas m'en assurer. Et cela
me gène d'autant plus que cela concerne un sujet critique pour la sécurité
et, pour autant que je m'en souvienne, un processus exécuté par root.
On trouve facilement des certificats pour 10 euros et quelques
centimes et avec ça on est tranquille pour un an ; pour moi cela vaut
le coût.
--------------------------------------------------------------------------------
_______________________________________________ Liste de diffusion du
%(real_name)s http://www.frsag.org/
_______________________________________________
Liste de diffusion du %(real_name)s
http://www.frsag.org/