Mon cher Laurent,
Comme les colistiers te l'ont détaillé, ce combat me semble un mauvais
fight et il y a mille manières de régler éventuellement les points que
tu évoques.
Pour ma part, étant un faignant professionnel, ma génération de certs
(acme.sh + acmemgr.sh en DNS01 only) est confinée dans un serveur de
clés isolé et ces certs sont ensuite distribués par ssh via le réseau
privé (vrack ovh pour nous) reliant toutes nos bestioles physiques sur
les différentes instances concernées. Ça marche ainsi pour nos proxies
web, nos (feu) serveurs de mails et autres services zarbis et stranges
de nos devs. Tout ceci ne voit pas le jour du réseau public avant
d'arriver à destination et c'est bien ainsi.
Au bout du compte, LE est juste une bénédiction des dieux car mettre un
radis (voire un champ de carottes) chez ces dealers de certs s’insupportait.
Pourquoi payer un dealer pour utiliser un pot à miel totalement vérolé ?
Ces histoires d'autorités de certification sont une blague. Du foutage
de gueule absolu. Évidemment que les éléments secrets sont depuis le
premier jour dans les jupes de toutes les agences à 3 ou 4 lettres,
sinon ces chiffrements ne seraient juste pas permis car le déchiffrement
en temps réel relève du monopole des états et de la négation de la vie
privée. Mais c'est commercialement nécessaire, le grand voleur étatique
ne tolère pas le petit arnaqueur privé, donc cert pour la sécu des
transactions bancaires et pour le MITM et pour le SEO aussi afin
d'éviter de se faire défoncer par le gougle & co.
Mais au moins c'est désormais gratuit et avec les bons outils totalement
automatique et non chronophage.
--
Stéphane Rivière
Ile d'Oléron - France
_______________________________________________
Liste de diffusion du %(real_name)s
http://www.frsag.org/
