Amazon va aussi sécuriser gratuitement les sites web
L’avenir est au web sécurisé ! Jusque-là, obtenir un certificat pour obtenir une adresse sécurisée (https) était à la fois compliqué et coûteux. Mais les solutions simples et surtout gratuites commencent à émerger : Let’s Encrypt est probablement l’initiative la plus importante en la matière (lire : Let’s Encrypt sur le point de sécuriser tout l’internet), mais ce n’est pas la seule.
Dernièrement, c’est Amazon qui a annoncé la mise à disposition de certificats gratuits pour tous les sites hébergés sur sa plateforme. Pour le moment, seule la zone US East (Virginie du Nord) est concernée, mais à terme, tout le réseau AWS proposera de sécuriser gratuitement les sites et services en ligne. Et cette zone est la plus grande sur le réseau, c’est donc déjà un grand pas en avant.
C’est une étape importante pour sécuriser tous les sites internet, car Amazon est l’un des plus gros hébergeurs à l’heure actuelle, si ce n’est le plus gros hébergeur. Cette solution gratuite et relativement simple à mettre en place devrait ainsi permettre à de nombreux sites et services de se sécuriser. C’est d’autant plus important que des services, comme celui fourni par Let’s Encrypt, ne sont pas directement compatibles avec le réseau de serveurs d’Amazon.
Si vous ne gérez pas votre propre serveur, il faudra encore faire preuve de patience. Mais on sait déjà que de gros acteurs, comme le Français OVH, vont intégrer les certificats gratuits de Let’s Encrypt à leurs offres mutualisées.
En ayant pratiquement connaissance en serveur (même si je suis développeur Web / Mobile), j'ai installé ce WE sur un Kimsufi, Debian 8 avec Let's Encrypt, nginx, ISPConfig et HTTP/2 en 2 heures max. Cela n'a rien de bien sorcier, mais pour mener à bien tout ça, j'ai suivi quelques tutos bien foutu et maintenant, tous mes sites sont en https. La seule contrainte, c'est que le certificat n'est valide que 90 jours.
On peut faire une crontab et utiliser le webroot pour le renew du certificate et on est tranquille sur la durée.
@nova313 :
A tout hasard aurais-tu les liens des "tutos bien foutu", ça me serait utile.
merci
Jusque-là, obtenir un certificat pour obtenir une adresse sécurisée (https) était à la fois compliqué et coûteux.
Non simple et gratuit (startSSL.com).
De toute façon, cette profusion de certificats gratuits et sans vérification d'identité n'est pas un plus pour la sécurité. Pour chiffrer la connexion, on n'utilise pas le certificat. Il ne sert qu'à l'authentification. Et avec ses systèmes, un phisheur (ou hameçoneur si vous préférez) peut même se payer une URL à cadenas. Du coup, le seul certificat que l'on te marau facilement (il est vert) et de confiance est l'EV. Et il est cher (250€/an chez StartSSL mais bien plus ailleurs).
Il faut arrêter avec la "fausse" sécurité: le cadenas qui ne veut rien dire, imposer dans mots de passes compliqués alors qu'il suffit de voler le mot de passe de courrier électronique ou de chercher sur les réseaux sociaux le nom de l'animal de compagnie, utiliser des protocoles cryptographiques faibles et afficher un message "sécurisé" mais mettre une alerte en rouge vif en cas de problème de certificat (maintenant qu'ils sont gratuits, une erreur de certificat est presque une garantie de non professionnalisme et donc que ça n'est pas du phishing -- je mets le ;) d'ironie pour préciser).
Ça dépend surtout de l'usage, pour un forum, un simple certificat suffit largement (le but étant de protéger le mot de passe dans un réseau WiFi ouvert).
Le seul truc sécurisant sur un Wifi ouvert c'est de se connecter avec un VPN (ici pour les abonnés de Free http://www.vpn.freebox.free.fr/)
Le certificat sert a mettre en place un serveur HTTPS qui est censé chiffrer la communication entre le client et le serveur. Apres meme avec un certificat onereux ca ne garanti pas qu'un petit malin s'est insere entre le serveur et le client (MiM) ou d'autres supercheries (fishing).
Il vaut mieux de toute facon disposer d'un serveur avec un certificat que pas... mais ca ne garanti nullement la sécurité.
@koko256 :
Je suis d'accord avec ce que tu dis mais entre ça et le site de macg où l'on rentre des identifiants et mot de passe alors que tout est en http…
Donc soyez prévenus, si le site de macg est en https, c'est que c'est du pishing!
Il y a des fois où je ne comprends pas macg, à critiquer beaucoup d'autres services qui font n'importe quoi au niveau de la sécurité, sans faire le minimum chez eux. Ils trouvent aussi que le SafariViewController est trop bien et se plaignent qu'il ne soit pas intégré à l'application Twitter, par contre, rien de tel non plus dans l'application macg…
@koko256 :
Je comprend pas bien la logique de votre propos.
Honnêtement, quel est le risque qu'un hameçonner copie un blog amateur ou un ownCloud personnel ?
Un certificat OD est toujours mieux — ou moins pire selon le point de vue — que rien du tout. Mais surtout, chiffré la communication AVANT l'authentification, histoire que le mot de passe ne passe pas en clair sur le réseau, est probablement plus important pour les exemples que j'ai cité. On a plus de risque de se faire intercepter un mot de passe de son ownCloud passé en clair sur le réseau, que de se faire hameçonner le site.
--
"Il faut arrêter avec la "fausse" sécurité: le cadenas qui ne veut rien dire, imposer dans mots de passes compliqués alors qu'il suffit de voler le mot de passe de courrier électronique ou de chercher sur les réseaux sociaux le nom de l'animal de compagnie"
Heu… ? oO
Si on impose pas des mot de passe forts, effectivement le pirate peut commencer par chercher le nom du chien… C'est bien pour ça qu'il faut privilégier un code fort.
L'envoi du mot de passe en clair dans un mail est à proscrire, mais en quoi est-ce en opposition avec StartTLS ?
En gros vous êtes en train de nous dire que, puisque tous les sites web, services et utilisateurs de suivent pas les conseils de base en sécurité, mieux vaut de rien faire du tout ?
Si on impose pas des mot de passe forts, effectivement le pirate peut commencer par chercher le nom du chien… C'est bien pour ça qu'il faut privilégier un code fort.
Il faut conseiller d'utiliser un mot de passe fort, pas imposer.
"Il faut conseiller d'utiliser un mot de passe fort, pas imposer."
C'est préférable en effet
C'est de la responsabilité de l'auteur du site de mettre en place un systeme qui verifie que le mot de passe est suffisament fort. Y a plein de scripts sur le net pour faire ca cote client, c'est vraiment pas difficile.
Apres, l'ideal c'est de chiffrer les donnees sensibles lors de leurs transmission et de leur stokage. Ca demande un peu de boulot et quelques competences mais c'est le seul moyen de garantir un minimun de securité.
@koko256 :
Pr contre, là où je trouve qu'il y a une incohérence dans la sécurité, c'est quand un navigateur balance une alerte rouge à la tronche de l'utilisateur parce qu'il ne connait pas le certificat — y compris si c'est uniquement parce qu'il ne connait pas la CA —, alors qu'il ne dit rien du tout quand on s'authentifie sur un site non sécurisé en envoyant son mot de passe en clair sur le réseau.
Désolé pour les fautes "te marau" => "reconnaît" et il y a un "ses" à la place de "ces"
Je trouve ces certificats gratuits très pratique pour un serveur web perso. Les visiteurs, de la famille essentiellement et avec peu de connaissances dans ce domaine, sont du coup moins effrayés qu'avec les messages d'alerte de sécurité des navigateurs.
Mais comme déjà dit plus haut, sans vérifications de l'identité de la personne qui demande le certificat, il est plus facile pour n'importe qui de se faire passer pour un site sûr et "officiel"
Ou alors j'ai ratée une info...
Il vérifie quand même que le demandeur est bien le possesseur du domaine.
"Mais comme déjà dit plus haut, sans vérifications de l'identité de la personne qui demande le certificat, il est plus facile pour n'importe qui de se faire passer pour un site sûr et "officiel""
Avec un certificat gratuit (ou pas cher) à vérification de nom de domaine seulement, on ne peut pas — à moins d'arriver à tromper jusqu'au bout l'AC — obtenir un certificat EV pour un site qui singerait celui d'une entité, surtout si elle possède déjà ce type de certificat pour son vrai site.
Si on peut obtenir un certificat OD pour paypale.com ou payepal.com, il est beaucoup plus difficile d'obtenir un EV.
C'est pas forcément inviolable, mais la démarche plus exigeante et couteuse écarte pas mal de fisheurs amateurs.
"Amazon va aussi sécuriser gratuitement les sites web"
ils voudraient pas non plus qu'on les paye pour leur site wbe non ?
deja qu'on le fait deja via nos achats et les impots qu'ils payent pas...
Ces certificats servent deux objectifs principaux.
Le premier est en effet de vérifier à qui on parle, grâce à la chaîne de certificats. La garantie n'est évidemment pas absolue, mais on peut raisonnablement accorder sa confiance lorsque l'émetteur du certificat est sérieux.
Le second est de s'assurer d'une liaison point à point cryptée, que des intermédiaires ne peuvent logger, analyser ou que sais-je. C'est également très important, spécialement sur des wifis quelconques.
Bref, c'est bien.