+1

J’y avais pensé aussi.

On peut faire la même remarque par exemple pour tout ce qui est Framasoft (leurs services en ligne là). C’est joli de dégoogliser Internet, mais si c’est pour mettre ses œufs dans un autre panier unique, c’est pas l’idéal non plus.

La solution, concernant Frama, ils l’ont : ce sont les C.H.A.T.O.N.S : un collectifs où chaque membre héberge une instance du service, de façon indépendante. Un peu à la manière de Mastodon.

Faire la même chose pour Let’s Encrypt semble pas mal, mais ça signifie aussi l’éventuelle naissance d’instances corrompues / vérolées / …

Ensuite, le HTTPS permet deux choses :
– chiffrer les communications entre le serveur et le navigateur
– authentifier le fait qu’un site est bien le site qu’il prétend être.

Dans mon cas (et je pense la majorité des cas), seule la première partie est intéressante. L’autre fonction est d’avantage utile pour les sites sensibles (banques, services gouvernementaux, etc.).

Or ceci, c’est déjà possible : n’importe qui pour produire un certificat HTTPS pour chiffrer son site. C’est juste que ce certificat ne sera pas signé et ne pourra pas servir pour authentifier le site. Le problème avec ça, c’est que les navigateurs lèvent une alerte pour cette raison…

— (permalink)