[FRsAG] Re: Toc toc un support de chez Gandi ?

[Antoine Millet via FRsAG]

On 14/03/2024 20:04, Laurent Barme wrote:

Le 14/03/2024 à 19:47, William FERRES a écrit :
Alors, aux dernières nouvelles, Let's Encrypt fournit des API. Nous 
avons ensuite la liberté d'utiliser le client de notre choix pour 
communiquer avec.
C'est pareil, le temps que je passerais à développer un traitement 
utilisant ces API n'est pas justifiable par rapport à une dépense 
annuel d'une dizaine d'euros.


Dépense à multiplier par le nombre de certificats nécessaires pour tous 
tes services (sans parler du temps nécessaire à aller les mettres à jour 
manuellement).


A moins que tu n'utilises un unique certificat wildcard mais je doute 
qu'un gars soucieux de la sécurité de ses clients comme toi ne fasse cela.






Il est tout à fait possible d'auditer le code desdits clients vu 
qu'une grande majorité sont Open Source et disponibles sur GitHub ou 
autre plateforme.
Oui, c'est théoriquement /possible/ d'auditer un code "open source" 
mais en pratique non. Du moins cela me prendrait plus de temps que de 
le réécrire moi-même.


Du coup selon la même logique j'imagine que tu n'utilises pas de serveur 
web open-source ? Ni de firewall open-source ? Ni de système 
d'exploitation opensource ? Et que tu as réimplémenté tout ça puisque ça 
risque de prendre plus de temps à auditer par toi même qu'a réécrire ?


___
Liste de diffusion du %(real_name)s
http://www.frsag.org/

[FRsAG] Re: Toc toc un support de chez Gandi ?

[Laurent Barme]

Le 14/03/2024 à 22:45, Pierre-Elliott Bécue a écrit :

Laurent Barme <2...@barme.fr> wrote on 14/03/2024 at 19:28:45+0100:

Tu as raison : c'est potentiellement un cheval de Troie.

Ce n'est sans doute pas le cas mais je ne peux pas m'en assurer. Et
cela me gène d'autant plus que cela concerne un sujet critique pour la
sécurité et, pour autant que je m'en souvienne, un processus exécuté
par root.

Il existe une pelletée de clients libres/open source qui sont donc revus
et fiables.

Mais bien sûr, si c'est "open source" alors c'est forcément revu et fiable !

As-tu déjà seulement essayé de "revoir" des développements "open source" ?


Attention, je ne dis pas que les développements open source ne sont pas fiables. 
Et tout cas, ils ne sont surement pas moins fiables que les autres.

___
Liste de diffusion du %(real_name)s
http://www.frsag.org/

[FRsAG] Re: Toc toc un support de chez Gandi ?

[Laurent Barme]

Le 14/03/2024 à 22:54, Pierre-Elliott Bécue a écrit :


Si tu penses vraiment, par exemple, qu'il est inutile de sécuriser la
connexion web à un blog, ou la connexion web vers des libs JS tierces,

Je n'utilise pas de libs JS tierces.
Si, si, c'est possible :-)


ou…, eh bien je suis inquiet pour tes fondamentaux en sécurité numérique
et pour tes clients.



Si tu penses qu'un certificat SSL te protège te tout…
___
Liste de diffusion du %(real_name)s
http://www.frsag.org/

[FRsAG] Re: Toc toc un support de chez Gandi ?

[Pierre-Elliott Bécue]

Laurent Barme <2...@barme.fr> wrote on 14/03/2024 at 19:09:22+0100:

> Le 14/03/2024 à 16:43, Pierre-Elliott Bécue a écrit :
>> Laurent Barme <2...@barme.fr> wrote on 14/03/2024 at 15:19:04+0100:
>>> Cela dit, je suis d'accord sur le fait que la vente de certifs est un
>>> ignoble racket, d'autant plus que ggl a réussi à imposer https tout
>>> azimut, y compris pour des blogs diffusant des informations totalement
>>> publiques, ce qui est une infamie rien qu'au niveau écologique !
>> Je suis ravi qu'on sécurise les connexions et la confidentialité des
>> accès contre un overhead de quelques % (qui baisse avec le temps),
>> quitte à ce que pour satisfaire les exigences écologiques des autres on
>> essaie plutôt d'arrêter de coller des libs JS de plusieurs Mo sur les
>> pages web et d'autres qui balourdent tout autant de volumes en
>> publicités.
>>
>> Le gain écologique serait une dizaine de fois supérieur et notre confort
>> en serait renforcé.
>>
>> Mais bon, YMMV
> Tout à fait d'accord sur la gabegie des librairies JS et des pubs. A
> noter qu'il est complètement inutile de "sécuriser" toutes les
> connexions ni de protéger la confidentialité des accès aux messages
> publicitaires.

Si tu penses vraiment, par exemple, qu'il est inutile de sécuriser la
connexion web à un blog, ou la connexion web vers des libs JS tierces,
ou…, eh bien je suis inquiet pour tes fondamentaux en sécurité numérique
et pour tes clients.

-- 
PEB


signature.asc
Description: PGP signature
___
Liste de diffusion du %(real_name)s
http://www.frsag.org/

[FRsAG] Re: Toc toc un support de chez Gandi ?

[Pierre-Elliott Bécue]

Laurent Barme <2...@barme.fr> wrote on 14/03/2024 at 19:28:45+0100:
> Tu as raison : c'est potentiellement un cheval de Troie.
>
> Ce n'est sans doute pas le cas mais je ne peux pas m'en assurer. Et
> cela me gène d'autant plus que cela concerne un sujet critique pour la
> sécurité et, pour autant que je m'en souvienne, un processus exécuté
> par root.

Il existe une pelletée de clients libres/open source qui sont donc revus
et fiables.

Et tu peux déporter la régénération de certs hors de ta prod.

-- 
PEB


signature.asc
Description: PGP signature
___
Liste de diffusion du %(real_name)s
http://www.frsag.org/

[FRsAG] Re: Toc toc un support de chez Gandi ?

[Mickael MONSIEUR]

Le jeu. 14 mars 2024 à 13:14, Arnaud Launay via FRsAG
 a écrit :
>
> Le Thu, Mar 14, 2024 at 12:38:56PM +0100, Théo VARIER via FRsAG a écrit:
> >Bref à part pour quelques clients, je fais comme toi : tout vers OVH ... 
> > C'est
> >dommage, j'aimais bien l'idée d'avoir les noms et les certificats 
> > ailleurs que
> >mes hébergements, et j'aimais bien Gandi.
>
> Pour les domaines, je te conseille BookMyName. Moins cher qu'OVH, tout aussi
> français, et ils ne font que du domaine, eux. L'interface est un peu à 
> l'ancienne,
> mais en terme de rapidité, ça n'a rien à voir avec les bouses de gandi ou 
> ovh...

BMN s'est enfin décidé à ouvrir son API à tout le monde ?

>
> Ça juste marche très bien, toutes les options existent sans limitation, et si 
> besoin
> il existe aussi une API.
>
> >Pour le SSL, outre Let's Encrypt, cette page donne une assez bonne idée 
> > du
> >paysage : https://www.httpcs.com/fr/certificats-ssl
>
> Il y en a d'autres du type Let's Encrypt aussi;
>
> https://github.com/acmesh-official/acme.sh?tab=readme-ov-file#supported-ca
>
> À part sur des équipements sur lesquels tu ne peux pas automatiser la mise à 
> jour des
> certificats, et sur lesquels la durée de vie de 90 jours est franchement 
> courte et
> t'oblige à le faire à la main 5 fois par an, je ne vois plus aucun avantage 
> de nos
> jours à prendre des certificats payants.
>
> Les validations EV (barre verte) ne sont plus indiquées par les navigateurs 
> depuis
> plusieurs années, le wildcard ou le multi-domaines sont faisables par les CA 
> listés
> ci-dessus... Et les assurances... C'est du vent marketing.
>
> Le seul cas que je peux voir où il faut encore débourser des sous pour du 
> certificat,
> ce sont pour des cas très spécifiques, comme pour la santé:
> https://esante.gouv.fr/produits-services/certificats-logiciels
>
> Mais pour des simples sites web, je ne vois plus de cas d'usage (à part le
> déploiement une fois par an uniquement, ou des éventuelles raisons de 
> conformité à
> un référentiel de sécurité -- je ne m'étendrai pas sur le sujet).
>
> Arnaud.
> ___
> Liste de diffusion du %(real_name)s
> http://www.frsag.org/
___
Liste de diffusion du %(real_name)s
http://www.frsag.org/

[FRsAG] Re: Toc toc un support de chez Gandi ?

[Laurent Barme]

Le 14/03/2024 à 19:54, Mehdi AMINI a écrit :



On Thu, Mar 14, 2024 at 11:10 AM Laurent Barme <2...@barme.fr 
> wrote:



Le 14/03/2024 à 16:43, Pierre-Elliott Bécue a écrit :
> Laurent Barme <2...@barme.fr > wrote on 14/03/2024
at 15:19:04+0100:
>> Cela dit, je suis d'accord sur le fait que la vente de certifs est un
>> ignoble racket, d'autant plus que ggl a réussi à imposer https tout
>> azimut, y compris pour des blogs diffusant des informations totalement
>> publiques, ce qui est une infamie rien qu'au niveau écologique !
> Je suis ravi qu'on sécurise les connexions et la confidentialité des
> accès contre un overhead de quelques % (qui baisse avec le temps),
> quitte à ce que pour satisfaire les exigences écologiques des autres on
> essaie plutôt d'arrêter de coller des libs JS de plusieurs Mo sur les
> pages web et d'autres qui balourdent tout autant de volumes en
> publicités.
>
> Le gain écologique serait une dizaine de fois supérieur et notre confort
> en serait renforcé.
>
> Mais bon, YMMV
Tout à fait d'accord sur la gabegie des librairies JS et des pubs. A noter
qu'il
est complètement inutile de "sécuriser" toutes les connexions ni de
protéger la
confidentialité des accès aux messages publicitaires.


Est-ce que ce n'est pas une protection contre une attaque MITM qui pourrait
injecter n'importe quel JS dans un site en remplaçant une pub?

Ne faudrait-il pas aussi pour cela qu'il y ai aussi une corruption du DNS ?
Quoiqu'il en soit pour les sites qui ne dépendent pas de librairies JS externe 
et qui ne détiennent pas d'information sensible ni confidentielles, la 
sécurisation SSL est juste inutile.




En termes de confidentialité, les pubs qui me sont montrées dépendent de mes
centres d'intérêt, intercepter toutes les pubs pourrait permettre de faire un
profil de l'utilisateur potentiellement.


Ne t'inquiète pas pour ça. Ton profil utilisateur est déjà certainement bien 
capté par ailleurs :-)
___
Liste de diffusion du %(real_name)s
http://www.frsag.org/

[FRsAG] Re: Toc toc un support de chez Gandi ?

[Laurent Barme]

Le 14/03/2024 à 19:47, William FERRES a écrit :
Alors, aux dernières nouvelles, Let's Encrypt fournit des API. Nous avons 
ensuite la liberté d'utiliser le client de notre choix pour communiquer avec.
C'est pareil, le temps que je passerais à développer un traitement utilisant ces 
API n'est pas justifiable par rapport à une dépense annuel d'une dizaine d'euros.




Il est tout à fait possible d'auditer le code desdits clients vu qu'une grande 
majorité sont Open Source et disponibles sur GitHub ou autre plateforme.
Oui, c'est théoriquement /possible/ d'auditer un code "open source" mais en 
pratique non. Du moins cela me prendrait plus de temps que de le réécrire moi-même.




Et d'ailleurs, rien ne nous oblige, lors de l'utilisation de Let's Encrypt, de 
faire la génération des certificats ailleurs que sur les machines de 
production qui les utiliseront. Déporter cette tâche ailleurs est même souvent 
une plutôt bonne idée. Personnellement, je ne suis pas fan de laisser un accès 
Internet sortant peu filtré sur des serveurs de production...



Le jeudi 14 mars 2024 à 19:28, Laurent Barme <2...@barme.fr> a écrit :


Le 14/03/2024 à 16:37, Pierre-Elliott Bécue a écrit :

Laurent Barme<2...@barme.fr>  wrote on 14/03/2024 at 13:39:31+0100:


Le 14/03/2024 à 13:13, Arnaud Launay via FRsAG a écrit :
…

À part sur des équipements sur lesquels tu ne peux pas automatiser la
mise à jour des certificats, et sur lesquels la durée de vie de 90
jours est franchement courte et t'oblige à le faire à la main 5 fois
par an, je ne vois plus aucun avantage de nos jours à prendre des
certificats payants.



…

La mise à jour automatique des certificats LE est un cheval de Troie.

Pas vraiment. Ou alors il va falloir définir ce que tu entends par
cheval de Troie.

Tu as raison : c'est /potentiellement/ un cheval de Troie.

Ce n'est sans doute pas le cas mais je ne peux pas m'en assurer. Et cela
me gène d'autant plus que cela concerne un sujet critique pour la sécurité
et, pour autant que je m'en souvienne, un processus exécuté par root.


On trouve facilement des certificats pour 10 euros et quelques
centimes et avec ça on est tranquille pour un an ; pour moi cela vaut
le coût.




___ Liste de diffusion du
%(real_name)s http://www.frsag.org/ 



___
Liste de diffusion du %(real_name)s
http://www.frsag.org/

[FRsAG] Re: Toc toc un support de chez Gandi ?

[Mehdi AMINI]

On Thu, Mar 14, 2024 at 11:10 AM Laurent Barme <2...@barme.fr> wrote:

>
> Le 14/03/2024 à 16:43, Pierre-Elliott Bécue a écrit :
> > Laurent Barme <2...@barme.fr> wrote on 14/03/2024 at 15:19:04+0100:
> >> Cela dit, je suis d'accord sur le fait que la vente de certifs est un
> >> ignoble racket, d'autant plus que ggl a réussi à imposer https tout
> >> azimut, y compris pour des blogs diffusant des informations totalement
> >> publiques, ce qui est une infamie rien qu'au niveau écologique !
> > Je suis ravi qu'on sécurise les connexions et la confidentialité des
> > accès contre un overhead de quelques % (qui baisse avec le temps),
> > quitte à ce que pour satisfaire les exigences écologiques des autres on
> > essaie plutôt d'arrêter de coller des libs JS de plusieurs Mo sur les
> > pages web et d'autres qui balourdent tout autant de volumes en
> > publicités.
> >
> > Le gain écologique serait une dizaine de fois supérieur et notre confort
> > en serait renforcé.
> >
> > Mais bon, YMMV
> Tout à fait d'accord sur la gabegie des librairies JS et des pubs. A noter
> qu'il
> est complètement inutile de "sécuriser" toutes les connexions ni de
> protéger la
> confidentialité des accès aux messages publicitaires.
>

Est-ce que ce n'est pas une protection contre une attaque MITM qui pourrait
injecter n'importe quel JS dans un site en remplaçant une pub?

En termes de confidentialité, les pubs qui me sont montrées dépendent de mes
centres d'intérêt, intercepter toutes les pubs pourrait permettre de faire
un
profil de l'utilisateur potentiellement.

--
Mehdi
___
Liste de diffusion du %(real_name)s
http://www.frsag.org/

[FRsAG] Re: Toc toc un support de chez Gandi ?

[William FERRES via FRsAG]

Alors, aux dernières nouvelles, Let's Encrypt fournit des API. Nous
avons ensuite la liberté d'utiliser le client de notre choix pour
communiquer avec.

Il est tout à fait possible d'auditer le code desdits clients vu
qu'une grande majorité sont Open Source et disponibles sur GitHub ou
autre plateforme.

Et d'ailleurs, rien ne nous oblige, lors de l'utilisation de Let's
Encrypt, de faire la génération des certificats ailleurs que sur les
machines de production qui les utiliseront. Déporter cette tâche
ailleurs est même souvent une plutôt bonne idée. Personnellement,
je ne suis pas fan de laisser un accès Internet sortant peu filtré
sur des serveurs de production...

 Le jeudi 14 mars 2024 à 19:28, Laurent Barme <2...@barme.fr> a
écrit : 

> Le 14/03/2024 à 16:37, Pierre-Elliott Bécue a écrit : 
> 
>>  Laurent Barme <2...@barme.fr> wrote on 14/03/2024 at 13:39:31+0100:
>>  
>>>   Le 14/03/2024 à 13:13, Arnaud Launay via FRsAG a écrit :
>>>   …
>>>   
À part sur des équipements sur lesquels tu ne peux pas automatiser la
mise à jour des certificats, et sur lesquels la durée de vie de 90
jours est franchement courte et t'oblige à le faire à la main 5 fois
par an, je ne vois plus aucun avantage de nos jours à prendre des
certificats payants.
>>>   
>>>   …
>>>   
>>>   La mise à jour automatique des certificats LE est un cheval de Troie.
>>  
>>  Pas vraiment. Ou alors il va falloir définir ce que tu entends par
>>  cheval de Troie.
>  Tu as raison : c'est _potentiellement_ un cheval de Troie. 
> 
> Ce n'est sans doute pas le cas mais je ne peux pas m'en assurer. Et
> cela me gène d'autant plus que cela concerne un sujet critique pour
> la sécurité et, pour autant que je m'en souvienne, un processus
> exécuté par root. 
> 
>>>   On trouve facilement des certificats pour 10 euros et quelques
>>>   centimes et avec ça on est tranquille pour un an ; pour moi cela vaut
>>>   le coût.
> 
> -
> ___ Liste de diffusion
> du %(real_name)s http://www.frsag.org/
 
___
Liste de diffusion du %(real_name)s
http://www.frsag.org/

[FRsAG] Re: Toc toc un support de chez Gandi ?

[Laurent Barme]

Le 14/03/2024 à 16:37, Pierre-Elliott Bécue a écrit :

Laurent Barme <2...@barme.fr> wrote on 14/03/2024 at 13:39:31+0100:


Le 14/03/2024 à 13:13, Arnaud Launay via FRsAG a écrit :
…

À part sur des équipements sur lesquels tu ne peux pas automatiser la
mise à jour des certificats, et sur lesquels la durée de vie de 90
jours est franchement courte et t'oblige à le faire à la main 5 fois
par an, je ne vois plus aucun avantage de nos jours à prendre des
certificats payants.



…

La mise à jour automatique des certificats LE est un cheval de Troie.

Pas vraiment. Ou alors il va falloir définir ce que tu entends par
cheval de Troie.

Tu as raison : c'est /potentiellement/ un cheval de Troie.

Ce n'est sans doute pas le cas mais je ne peux pas m'en assurer. Et cela me gène 
d'autant plus que cela concerne un sujet critique pour la sécurité et, pour 
autant que je m'en souvienne, un processus exécuté par root.



On trouve facilement des certificats pour 10 euros et quelques
centimes et avec ça on est tranquille pour un an ; pour moi cela vaut
le coût.


___
Liste de diffusion du %(real_name)s
http://www.frsag.org/

[FRsAG] Re: Toc toc un support de chez Gandi ?

[Laurent Barme]

Le 14/03/2024 à 15:36, Arnaud Launay via FRsAG a écrit :

Le Thu, Mar 14, 2024 at 01:39:31PM +0100, Laurent Barme a écrit:

La mise à jour automatique des certificats LE est un cheval de Troie.

Je n'ai rien compris. Il faudrait que tu développes.
C'est assez simple pourtant. La mise à jour des certificats est faite par un 
traitement que tu importes et ne maitrises pas, dont la génération de la clé 
privée ; question sécurité, c'est moyen.



On trouve facilement des certificats pour 10 euros et quelques centimes et
avec ça on est tranquille pour un an ; pour moi cela vaut le coût.

Oui, avec les renouvellements qui sont oubliés, les sites qui sont en carafe et 
où
c'est la panique pour trouver le type avec la CB qui va bien, et les X serveurs 
où la
mise à jour a été oubliée, effectivement, le faire à la main, c'est mieux.

Quel drôle de façon de concevoir l'administration d'un serveur !



Rassure-moi, on n'est pas vendredi, mais c'était un troll ?
C'est mignon la coutume du vendredi. C'est sympa pour justifier les échanges sur 
des sujets plus distrayant que sérieux mais l'utiliser comme argument pour 
critiquer un point de vue, c'est petit.


Ah et puis demain, je ne serai pas disponible.

___
Liste de diffusion du %(real_name)s
http://www.frsag.org/

[FRsAG] Re: Toc toc un support de chez Gandi ?

[Laurent Barme]

Le 14/03/2024 à 16:43, Pierre-Elliott Bécue a écrit :

Laurent Barme <2...@barme.fr> wrote on 14/03/2024 at 15:19:04+0100:

Cela dit, je suis d'accord sur le fait que la vente de certifs est un
ignoble racket, d'autant plus que ggl a réussi à imposer https tout
azimut, y compris pour des blogs diffusant des informations totalement
publiques, ce qui est une infamie rien qu'au niveau écologique !

Je suis ravi qu'on sécurise les connexions et la confidentialité des
accès contre un overhead de quelques % (qui baisse avec le temps),
quitte à ce que pour satisfaire les exigences écologiques des autres on
essaie plutôt d'arrêter de coller des libs JS de plusieurs Mo sur les
pages web et d'autres qui balourdent tout autant de volumes en
publicités.

Le gain écologique serait une dizaine de fois supérieur et notre confort
en serait renforcé.

Mais bon, YMMV
Tout à fait d'accord sur la gabegie des librairies JS et des pubs. A noter qu'il 
est complètement inutile de "sécuriser" toutes les connexions ni de protéger la 
confidentialité des accès aux messages publicitaires. De plus le surcoût des 
échanges sécurisés par un certificat SSL s'applique aussi au dessus de ces 
librairies JS et publicités :-(

___
Liste de diffusion du %(real_name)s
http://www.frsag.org/

[FRsAG] Re: Toc toc un support de chez Gandi ?

[Pierre-Elliott Bécue]

Laurent Barme <2...@barme.fr> wrote on 14/03/2024 at 15:19:04+0100:
> Cela dit, je suis d'accord sur le fait que la vente de certifs est un
> ignoble racket, d'autant plus que ggl a réussi à imposer https tout
> azimut, y compris pour des blogs diffusant des informations totalement
> publiques, ce qui est une infamie rien qu'au niveau écologique !

Je suis ravi qu'on sécurise les connexions et la confidentialité des
accès contre un overhead de quelques % (qui baisse avec le temps),
quitte à ce que pour satisfaire les exigences écologiques des autres on
essaie plutôt d'arrêter de coller des libs JS de plusieurs Mo sur les
pages web et d'autres qui balourdent tout autant de volumes en
publicités.

Le gain écologique serait une dizaine de fois supérieur et notre confort
en serait renforcé.

Mais bon, YMMV
-- 
PEB


signature.asc
Description: PGP signature
___
Liste de diffusion du %(real_name)s
http://www.frsag.org/

[FRsAG] Re: Toc toc un support de chez Gandi ?

[Pierre-Elliott Bécue]

Laurent Barme <2...@barme.fr> wrote on 14/03/2024 at 13:39:31+0100:

> Le 14/03/2024 à 13:13, Arnaud Launay via FRsAG a écrit :
> …
>> À part sur des équipements sur lesquels tu ne peux pas automatiser la
>> mise à jour des certificats, et sur lesquels la durée de vie de 90
>> jours est franchement courte et t'oblige à le faire à la main 5 fois
>> par an, je ne vois plus aucun avantage de nos jours à prendre des
>> certificats payants.
>>
>>
> …
>
> La mise à jour automatique des certificats LE est un cheval de Troie.

Pas vraiment. Ou alors il va falloir définir ce que tu entends par
cheval de Troie.

> On trouve facilement des certificats pour 10 euros et quelques
> centimes et avec ça on est tranquille pour un an ; pour moi cela vaut
> le coût.

-- 
PEB


signature.asc
Description: PGP signature
___
Liste de diffusion du %(real_name)s
http://www.frsag.org/

[FRsAG] Re: Toc toc un support de chez Gandi ?

[Arnaud Launay via FRsAG]

Le Thu, Mar 14, 2024 at 01:39:31PM +0100, Laurent Barme a écrit:
> La mise à jour automatique des certificats LE est un cheval de Troie.

Je n'ai rien compris. Il faudrait que tu développes.

> On trouve facilement des certificats pour 10 euros et quelques centimes et
> avec ça on est tranquille pour un an ; pour moi cela vaut le coût.

Oui, avec les renouvellements qui sont oubliés, les sites qui sont en carafe et 
où
c'est la panique pour trouver le type avec la CB qui va bien, et les X serveurs 
où la
mise à jour a été oubliée, effectivement, le faire à la main, c'est mieux.

Rassure-moi, on n'est pas vendredi, mais c'était un troll ?

Arnaud.
___
Liste de diffusion du %(real_name)s
http://www.frsag.org/

[FRsAG] Re: Toc toc un support de chez Gandi ?

[Arnaud Launay via FRsAG]

Le Thu, Mar 14, 2024 at 02:15:26PM +0100, Stéphane Rivière a écrit:
>En termes de prix, en gras les moins chers...

Désolé, j'utilise mutt en simple texte, je n'ai pas les fioritures ;-)

>trucbidulemachin.fr 5,38 HT chez bookmyname et 5,59 HT chez OVH
>trucbidulemachin.com 11,53 HT chez bookmyname et 9,59 HT chez OVH

Oui mais c'est incomplet ton truc !

Avec un beau tableau à lire en police à chasse fixe et en HT:

| TLD   | registrar |  création   |  renouvellement |
| com   | ovh   |   9.59  |12.59|
| com   | bmn   |  11.53  |11.53|
|  fr   | ovh   |   5.59  | 7.79|
|  fr   | bmn   |   5.38  | 5.93|

Donc le .com est rentable chez BMN au bout d'un an et 303 jours...

Arnaud.
___
Liste de diffusion du %(real_name)s
http://www.frsag.org/

[FRsAG] Re: Toc toc un support de chez Gandi ?

[Laurent Barme]

Le 14/03/2024 à 14:20, Stéphane Rivière a écrit :

Bonjour Laurent,



La mise à jour automatique des certificats LE est un cheval de Troie.


acme.sh avec les bonnes options n'est pas un cheval de troie + acmemgr.sh pour 
gérer en masse des centaines de domaines = santé bonheur.



On trouve facilement des certificats pour 10 euros et quelques centimes et 
avec ça on est tranquille pour un an ; pour moi cela vaut le coût.


La vente de certifs n'est-il pas un ignoble racket ?

L'infrastructure LE est (imho) une merveille. Fonctionnalités, résilience, bac 
à sable...


J'aimerai bien avoir la même chose pour les certifs de mails (pour le 
chiffrement) mais ça n'a pas l'air d'actualité...



Bonjour Stéphane,

Mon niveau de confiance à propos de acmemgr.sh est proportionnel à celui que 
j'ai vis à vis de soweb.io lui même indexé sur celui que j'ai envers son gérant 
(que je connais personnellement) : maximal !


Cependant, je suis complètement paranoïaque pour la sécurité des serveurs que je 
gère et, compte tenu de mon tarif horaire, même dans sa version la plus 
avantageuse pour mes clients, il faudrait que je parvienne à contrôler 
acmemgr.sh et acme.sh (qui n'est pas produit par soweb.io il me semble) en moins 
de 0h06:50 par rapport au coût d'un certificat payant ; ce qui est largement au 
dessus de mes capacités :-)


Cela dit, je suis d'accord sur le fait que la vente de certifs est un ignoble 
racket, d'autant plus que ggl a réussi à imposer https tout azimut, y compris 
pour des blogs diffusant des informations totalement publiques, ce qui est une 
infamie rien qu'au niveau écologique !


Laurent Barme
___
Liste de diffusion du %(real_name)s
http://www.frsag.org/

[FRsAG] Re: Toc toc un support de chez Gandi ?

[Stéphane Rivière]

Bonjour Laurent,



La mise à jour automatique des certificats LE est un cheval de Troie.


acme.sh avec les bonnes options n'est pas un cheval de troie + 
acmemgr.sh pour gérer en masse des centaines de domaines = santé bonheur.



On trouve facilement des certificats pour 10 euros et quelques 
centimes et avec ça on est tranquille pour un an ; pour moi cela vaut 
le coût.


La vente de certifs n'est-il pas un ignoble racket ?

L'infrastructure LE est (imho) une merveille. Fonctionnalités, 
résilience, bac à sable...


J'aimerai bien avoir la même chose pour les certifs de mails (pour le 
chiffrement) mais ça n'a pas l'air d'actualité...


--
Stéphane Rivière
Ile d'Oléron - France

___
Liste de diffusion du %(real_name)s
http://www.frsag.org/

[FRsAG] Re: Toc toc un support de chez Gandi ?

[nes2j]

Bonjour le réseau,

Connaissez-vous une autre société alternative à ovh avec l'offre type Exchange 
50Go ou 300Go.
parce que la demande du mot de passe incessante sur Outlook ca deviens pénible.
Si vous avez une solution je suis preneur.

Merci de vôtres réponses

Nes ALADAG
 
SARL NES2J
55 rue Jacquart
51100 Reims
Mail : ne...@free.fr

-Message d'origine-
De : Arnaud Launay via FRsAG  
Envoyé : jeudi 14 mars 2024 13:13
À : frsag@frsag.org
Objet : [FRsAG] Re: Toc toc un support de chez Gandi ?

Le Thu, Mar 14, 2024 at 12:38:56PM +0100, Théo VARIER via FRsAG a écrit:
>Bref à part pour quelques clients, je fais comme toi : tout vers OVH ... 
> C'est
>dommage, j'aimais bien l'idée d'avoir les noms et les certificats ailleurs 
> que
>mes hébergements, et j'aimais bien Gandi.

Pour les domaines, je te conseille BookMyName. Moins cher qu'OVH, tout aussi 
français, et ils ne font que du domaine, eux. L'interface est un peu à 
l'ancienne, mais en terme de rapidité, ça n'a rien à voir avec les bouses de 
gandi ou ovh...

Ça juste marche très bien, toutes les options existent sans limitation, et si 
besoin il existe aussi une API.

>Pour le SSL, outre Let's Encrypt, cette page donne une assez bonne idée du
>paysage : https://www.httpcs.com/fr/certificats-ssl

Il y en a d'autres du type Let's Encrypt aussi;

https://github.com/acmesh-official/acme.sh?tab=readme-ov-file#supported-ca

À part sur des équipements sur lesquels tu ne peux pas automatiser la mise à 
jour des certificats, et sur lesquels la durée de vie de 90 jours est 
franchement courte et t'oblige à le faire à la main 5 fois par an, je ne vois 
plus aucun avantage de nos jours à prendre des certificats payants.

Les validations EV (barre verte) ne sont plus indiquées par les navigateurs 
depuis plusieurs années, le wildcard ou le multi-domaines sont faisables par 
les CA listés ci-dessus... Et les assurances... C'est du vent marketing.

Le seul cas que je peux voir où il faut encore débourser des sous pour du 
certificat, ce sont pour des cas très spécifiques, comme pour la santé:
https://esante.gouv.fr/produits-services/certificats-logiciels

Mais pour des simples sites web, je ne vois plus de cas d'usage (à part le 
déploiement une fois par an uniquement, ou des éventuelles raisons de 
conformité à un référentiel de sécurité -- je ne m'étendrai pas sur le sujet).

Arnaud.
___
Liste de diffusion du %(real_name)s
http://www.frsag.org/

___
Liste de diffusion du %(real_name)s
http://www.frsag.org/

[FRsAG] Re: Toc toc un support de chez Gandi ?

[Kevin Labécot]

Et dire que tout ça est parti de mon correcteur ;p
En tout cas ca a bien réveillé la liste !

— 
Kevin


> Le 14 mars 2024 à 13:41, Samuel Marty  a écrit :
> 
> Excellent, je sais enfin pourquoi je me suis inscrit à cette liste !
> 
> Merci
> 
> Le 14/03/2024 à 09:19, merlin8282 _ a écrit :
>> > Peut-on dire qu'on ressort Gandis de cette histoire ?
>> 
>> On peut le dire, mais Gandi Raton ?
>> 
>> ___
>> Liste de diffusion du %(real_name)s
>> http://www.frsag.org/
> --
> ___
> Liste de diffusion du %(real_name)s
> http://www.frsag.org/

___
Liste de diffusion du %(real_name)s
http://www.frsag.org/

[FRsAG] Re: Toc toc un support de chez Gandi ?

[Samuel Marty]

  
  
Excellent, je sais enfin pourquoi je me suis inscrit à cette
  liste !
Merci 

Le 14/03/2024 à 09:19, merlin8282 _ a
  écrit :


  
  > Peut-on dire qu'on ressort Gandis de cette histoire ?
  
  On peut le dire, mais Gandi Raton ?
  
  
  ___
Liste de diffusion du %(real_name)s
http://www.frsag.org/

-- 

  

___
Liste de diffusion du %(real_name)s
http://www.frsag.org/

[FRsAG] Re: Toc toc un support de chez Gandi ?

[Laurent Barme]

Le 14/03/2024 à 13:13, Arnaud Launay via FRsAG a écrit :
…

À part sur des équipements sur lesquels tu ne peux pas automatiser la mise à 
jour des
certificats, et sur lesquels la durée de vie de 90 jours est franchement courte 
et
t'oblige à le faire à la main 5 fois par an, je ne vois plus aucun avantage de 
nos
jours à prendre des certificats payants.



…

La mise à jour automatique des certificats LE est un cheval de Troie.

On trouve facilement des certificats pour 10 euros et quelques centimes et avec 
ça on est tranquille pour un an ; pour moi cela vaut le coût.

___
Liste de diffusion du %(real_name)s
http://www.frsag.org/

[FRsAG] Re: Toc toc un support de chez Gandi ?

[Pierre-Elliott Bécue]

Théo VARIER via FRsAG  wrote on 14/03/2024 at 12:38:56+0100:
> […] et j'aimais bien Gandi.

Perso j'aimais tellement bien Gandi que je suis allé y bosser.

Et puis il y a eu le rachat.

-- 
PEB
Du coup perso d'un certain point de vue, G(r)andi, j'en suis sorti.


signature.asc
Description: PGP signature
___
Liste de diffusion du %(real_name)s
http://www.frsag.org/

[FRsAG] Re: Toc toc un support de chez Gandi ?

[Arnaud Launay via FRsAG]

Le Thu, Mar 14, 2024 at 12:38:56PM +0100, Théo VARIER via FRsAG a écrit:
>Bref à part pour quelques clients, je fais comme toi : tout vers OVH ... 
> C'est
>dommage, j'aimais bien l'idée d'avoir les noms et les certificats ailleurs 
> que
>mes hébergements, et j'aimais bien Gandi.

Pour les domaines, je te conseille BookMyName. Moins cher qu'OVH, tout aussi
français, et ils ne font que du domaine, eux. L'interface est un peu à 
l'ancienne,
mais en terme de rapidité, ça n'a rien à voir avec les bouses de gandi ou ovh...

Ça juste marche très bien, toutes les options existent sans limitation, et si 
besoin
il existe aussi une API.

>Pour le SSL, outre Let's Encrypt, cette page donne une assez bonne idée du
>paysage : https://www.httpcs.com/fr/certificats-ssl

Il y en a d'autres du type Let's Encrypt aussi;

https://github.com/acmesh-official/acme.sh?tab=readme-ov-file#supported-ca

À part sur des équipements sur lesquels tu ne peux pas automatiser la mise à 
jour des
certificats, et sur lesquels la durée de vie de 90 jours est franchement courte 
et
t'oblige à le faire à la main 5 fois par an, je ne vois plus aucun avantage de 
nos
jours à prendre des certificats payants.

Les validations EV (barre verte) ne sont plus indiquées par les navigateurs 
depuis
plusieurs années, le wildcard ou le multi-domaines sont faisables par les CA 
listés
ci-dessus... Et les assurances... C'est du vent marketing.

Le seul cas que je peux voir où il faut encore débourser des sous pour du 
certificat,
ce sont pour des cas très spécifiques, comme pour la santé:
https://esante.gouv.fr/produits-services/certificats-logiciels

Mais pour des simples sites web, je ne vois plus de cas d'usage (à part le
déploiement une fois par an uniquement, ou des éventuelles raisons de 
conformité à
un référentiel de sécurité -- je ne m'étendrai pas sur le sujet).

Arnaud.
___
Liste de diffusion du %(real_name)s
http://www.frsag.org/

[FRsAG] Re: Toc toc un support de chez Gandi ?

[Théo VARIER via FRsAG]

Bonjour à tous,

Merci pour toutes vos réponses, les drôles (ils se reconnaîtront), et la hors 
sujet wildcard très documentée (il se reconnaitra) ... Merci pour votre 
soutien. Vos réponses ont été des encouragements plus que des éclaircissements

Alors je vous donne des nouvelles :
Très tôt ce matin une réponse du support est tombée, ... à coté de la plaque 
mais enfin j'avais un interlocuteur.
Après un échange de plusieurs mails pour ré expliquer la situation, la 
conclusion semble être que la procédure de commande est faussée par l'existence 
d'un hébergement gandi actuellement actif avec certificat sur ce domaine. Oui, 
l'idée c'est que je prépare un hébergement ailleurs et que j'ai besoin d'un 
nouveau certificat. Il semble qu'il y ait une collision entre ma nouvelle 
demande certificat pour mettre ailleurs et la conf automagique attachée à 
l'hébergement Gandi encore actif. C'est pas toujours évident d'être dans deux 
états en même temps dans le même système d'information, ça je peux comprendre.
J'ai même demandé la re-génération du certificat en précisant explicitement 
l'Alternative Name avec le www. dans la requête comme pour un multi domaine, 
mais ça a fait pchitt , le certificat livré ne le comporte pas.

Tant pis pour le Gandi raton ;) faute d'une solution simple de Gandi dans 
l'aprem je ferais autrement.


Malheureusement Stéphane, tu as raison. Et si tu ajoutes leur augmentation 
tarifaire complètement délirante, qu'un gars de leur support (chat) m'a 
justifiée  cet été en vantant leur support de qualité supérieur et leur 
présence dans leurs bureaux parisiens ... WTF
Bref à part pour quelques clients, je fais comme toi : tout vers OVH ... C'est 
dommage, j'aimais bien l'idée d'avoir les noms et les certificats ailleurs que 
mes hébergements, et j'aimais bien Gandi.
Vu l'emmerdement à bouger les trucs, je ne suis pas sûr d'en ressortir Grandi ;)

Pour le SSL, outre Let's Encrypt, cette page donne une assez bonne idée du 
paysage : https://www.httpcs.com/fr/certificats-ssl


--
Théo VARIER


> Le 14 mars 2024 à 12:00, Stéphane Rivière  a écrit :
> 
> 
>> On peut le dire, mais Gandi Raton ?
> 
> :))) Que son fromage est plein de trous !
> 
> J'étais rs-423 chez eux (sic). La dernière fois que j'ai sorti un NDD de 
> gandi, il n'y a pas très longtemps (ils sont en cheville avec local ou 
> solocal, je ne sais plus), ils m'ont encore mis la misère, de vraies méthodes 
> d'agrume (orange reste mon record avec 43 email + recours à l'AFNIC). Ils 
> osaient me sortir que puisqu'ils étaient partenaires avec l'un des bouclars 
> ci-dessus, la procédure était plus compliquée, ralentie, différente, etc. une 
> vraie bande de tordus pas pros.
> 
> Tout est chez OVH depuis longtemps, économique et zéroproblémo.
> 
> -- 
> Stéphane Rivière
> Ile d'Oléron - France
> 
> ___
> Liste de diffusion du %(real_name)s
> http://www.frsag.org/

___
Liste de diffusion du %(real_name)s
http://www.frsag.org/

[FRsAG] Re: Toc toc un support de chez Gandi ?

[Stéphane Rivière]

On peut le dire, mais Gandi Raton ?


:))) Que son fromage est plein de trous !

J'étais rs-423 chez eux (sic). La dernière fois que j'ai sorti un NDD de 
gandi, il n'y a pas très longtemps (ils sont en cheville avec local ou 
solocal, je ne sais plus), ils m'ont encore mis la misère, de vraies 
méthodes d'agrume (orange reste mon record avec 43 email + recours à 
l'AFNIC). Ils osaient me sortir que puisqu'ils étaient partenaires avec 
l'un des bouclars ci-dessus, la procédure était plus compliquée, 
ralentie, différente, etc. une vraie bande de tordus pas pros.


Tout est chez OVH depuis longtemps, économique et zéroproblémo.

--
Stéphane Rivière
Ile d'Oléron - France

___
Liste de diffusion du %(real_name)s
http://www.frsag.org/

[FRsAG] Re: Toc toc un support de chez Gandi ?

[merlin8282 _]

> Peut-on dire qu'on ressort Gandis de cette histoire ?

On peut le dire, mais Gandi Raton ?
___
Liste de diffusion du %(real_name)s
http://www.frsag.org/

[FRsAG] Re: Toc toc un support de chez Gandi ?

[Stéphane Rivière]

Peut-on dire qu'on ressort Gandis de cette histoire ?


Gandi ayant grandi, son Karma s'en est allé...

--
Stéphane Rivière
Ile d'Oléron - France

___
Liste de diffusion du %(real_name)s
http://www.frsag.org/

[FRsAG] Re: Toc toc un support de chez Gandi ?

[Laurent Barme]

Le 13/03/2024 à 23:57, Pierre-Elliott Bécue a écrit :

Kevin  wrote on 13/03/2024 at 19:51:44+0100:

A l'instar des autres, je quitte peu à peu grandi… Je migre tous mes
clients NDD vers Infomaniak.

Peut-on dire qu'on ressort Gandis de cette histoire ?

(oui je sors)



Excellente !
___
Liste de diffusion du %(real_name)s
http://www.frsag.org/