Mozilla pète les plombs et veut obliger tous les sites à passer en HTTPS - bohwaz
mardi 5 mai 2015 à 11:20Liens en vrac de sebsauvage 05/05/2015
Mozilla, Mozilla, mais qu'es-tu en train de faire à l'internet libre et ouvert ? Et la bidouillabilité si chère à notre Tristan Nitot national, tu la jettes à la poubelle ?
(Permalink)
GuiGui's Show - Liens 05/05/2015
« En 5 minutes je pense déjà à des tonnes d'arguments pour exprimer à quel point cette idée est profondément stupide :
* le système des CA SSL est complètement cassé, de par sa conception-même. Ça fait des années que tout le monde dans le monde de la sécurité dit que c'est de la merde. Plutôt que de nous emmerder avec des rustines inutiles comme "letsencrypt" ou à recopier l'UI de Chrome, Mozilla ferait mieux de réfléchir à une alternative crédible pour qu'HTTPS devienne enfin quelque chose de sécurisé et accessible à tout le monde, pas seulement aux riches occidentaux.
[NDLR : +1, DANE, par exemple :) Sinon s/SSL/TLS/, les gens, SSL c'est mort depuis longtemps hein. :P ]
* un certificat ça coûte des thunes. Oui oui StartSSL, letsencrypt machin. Non je suis pas d'accord, car c'est un monopole (bientôt duopole), si demain ils décident de faire payer c'est foutu. De plus quand on veut des sous-domaines c'est tout de suite très chiant (et cher). Et quand on veut un wildcard, c'est là que ça devient marrant. Enfin ou pas.
[NDLR : ouais enfin des certs wildcard, non, juste non :/ ]
* ça veut dire que tous les gens qui n'ont pas de thune vont aller faire certifier leur site auprès d'une autorité centralisée (startssl ou letsencrypt, whatever). Big brother toussa. Si un jour ces autorités n'acceptent plus votre site parce que vous êtes un index de bittorrent, un média alternatif ou autre truc qui dérange, vous êtes bien dans la merde. Et combien de temps avant qu'un CA ne soit obligé par la justice à la demande de la RIAA ou autre à révoquer le certif d'un site ?
* la gestion des certificats c'est chiant, grave. J'ai une dizaine de domaines en HTTPS à gérer, tous les 6 mois il faut que je renouvelle les certificats. A chaque fois je finit par en enlever un, parce que c'est super chiant. Une fois que j'ai mis en place un truc, je veux que ça marche sans avoir à y revenir tous les ans ou tous les 6 mois, je suis pas admin sys, je fait ça sur mon temps libre. Et moi je suis un geek, je kiffe jouer de la config apache (enfin pas trop quand même), mais pour le péquin lambda, qui aura le courage d'aller se faire chier à faire un certif, le mettre à jour etc.
[NDLR : la sécurité c'est toujours plus contraignantn que sans, il faut arrêter avec ça, maintenant ! ]
* Mozilla devient CA, et juste après parle de ne plus faire que du httpS. Tiens tiens, un business plan sous le coude ?
* C'est un sacré frein à la création de site web et à l'amateurisme (au sens noble), la barrière d'entrée sur le web devient encore plus haute
[...]
un autre souci c'est OCSP, une techno qui permet au navigateur de demander au CA si le certificat est bon et encore valide. En théorie c'est super. En pratique ça veut dire que tout le monde qui visite un site fait une requête au CA, qui sait donc qui visite le site. Non seulement ça peut être un gros business, mais en plus c'est une sacré atteinte à la vie privée (et on peut risquer sa vie dans un pays non démocratique, si on va visiter un site interdit…). Dans HTTP, aucun mouchard n'envoie à un prestataire tiers le nom de tous les sites que vous visitez… »
Via http://sebsauvage.net/links/?L-bxTg
(Permalink)
Liens Ecyseo 05/05/2015
Et il nous reste quoi comme alternative fiable ???
Via SebSauvage.
(Permalink)
le hollandais volant > Liens Ecyseo 05/05/2015
Rien…
À choisir, aujourd’hui, je dirais Vivaldi (fait par les anciens d’Opera), mais il n’est pas libre ni encore bien répandu.
Après, pour un truc libre, peut-être Epiphany mais ce n’est dispo que sous Linux je crois.
J’espère qu’il y aura des forks.
— (permalink)
Mozilla, Mozilla, mais qu'es-tu en train de faire à l'internet libre et ouvert ? Et la bidouillabilité si chère à notre Tristan Nitot national, tu la jettes à la poubelle ?
(Permalink)
GuiGui's Show - Liens 05/05/2015
« En 5 minutes je pense déjà à des tonnes d'arguments pour exprimer à quel point cette idée est profondément stupide :
* le système des CA SSL est complètement cassé, de par sa conception-même. Ça fait des années que tout le monde dans le monde de la sécurité dit que c'est de la merde. Plutôt que de nous emmerder avec des rustines inutiles comme "letsencrypt" ou à recopier l'UI de Chrome, Mozilla ferait mieux de réfléchir à une alternative crédible pour qu'HTTPS devienne enfin quelque chose de sécurisé et accessible à tout le monde, pas seulement aux riches occidentaux.
[NDLR : +1, DANE, par exemple :) Sinon s/SSL/TLS/, les gens, SSL c'est mort depuis longtemps hein. :P ]
* un certificat ça coûte des thunes. Oui oui StartSSL, letsencrypt machin. Non je suis pas d'accord, car c'est un monopole (bientôt duopole), si demain ils décident de faire payer c'est foutu. De plus quand on veut des sous-domaines c'est tout de suite très chiant (et cher). Et quand on veut un wildcard, c'est là que ça devient marrant. Enfin ou pas.
[NDLR : ouais enfin des certs wildcard, non, juste non :/ ]
* ça veut dire que tous les gens qui n'ont pas de thune vont aller faire certifier leur site auprès d'une autorité centralisée (startssl ou letsencrypt, whatever). Big brother toussa. Si un jour ces autorités n'acceptent plus votre site parce que vous êtes un index de bittorrent, un média alternatif ou autre truc qui dérange, vous êtes bien dans la merde. Et combien de temps avant qu'un CA ne soit obligé par la justice à la demande de la RIAA ou autre à révoquer le certif d'un site ?
* la gestion des certificats c'est chiant, grave. J'ai une dizaine de domaines en HTTPS à gérer, tous les 6 mois il faut que je renouvelle les certificats. A chaque fois je finit par en enlever un, parce que c'est super chiant. Une fois que j'ai mis en place un truc, je veux que ça marche sans avoir à y revenir tous les ans ou tous les 6 mois, je suis pas admin sys, je fait ça sur mon temps libre. Et moi je suis un geek, je kiffe jouer de la config apache (enfin pas trop quand même), mais pour le péquin lambda, qui aura le courage d'aller se faire chier à faire un certif, le mettre à jour etc.
[NDLR : la sécurité c'est toujours plus contraignantn que sans, il faut arrêter avec ça, maintenant ! ]
* Mozilla devient CA, et juste après parle de ne plus faire que du httpS. Tiens tiens, un business plan sous le coude ?
* C'est un sacré frein à la création de site web et à l'amateurisme (au sens noble), la barrière d'entrée sur le web devient encore plus haute
[...]
un autre souci c'est OCSP, une techno qui permet au navigateur de demander au CA si le certificat est bon et encore valide. En théorie c'est super. En pratique ça veut dire que tout le monde qui visite un site fait une requête au CA, qui sait donc qui visite le site. Non seulement ça peut être un gros business, mais en plus c'est une sacré atteinte à la vie privée (et on peut risquer sa vie dans un pays non démocratique, si on va visiter un site interdit…). Dans HTTP, aucun mouchard n'envoie à un prestataire tiers le nom de tous les sites que vous visitez… »
Via http://sebsauvage.net/links/?L-bxTg
(Permalink)
Liens Ecyseo 05/05/2015
Et il nous reste quoi comme alternative fiable ???
Via SebSauvage.
(Permalink)
le hollandais volant > Liens Ecyseo 05/05/2015
Rien…
À choisir, aujourd’hui, je dirais Vivaldi (fait par les anciens d’Opera), mais il n’est pas libre ni encore bien répandu.
Après, pour un truc libre, peut-être Epiphany mais ce n’est dispo que sous Linux je crois.
J’espère qu’il y aura des forks.
— (permalink)