Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
Discussion :
Chrome, Firefox et recherches Google : passage en force du HTTPS
Bonjour,
Je vous présente ce tutoriel intitulé :
Depuis quelques années, l'utilisation du HTTPS se démocratise, mais d'ici la fin de l'année, on devrait connaître une intensification massive de cette tendance.
À travers cet article, je vous propose de découvrir les raisons de cette intensification, mais aussi les enjeux de la mise en œuvre et les impacts sur les performances.
N'hésitez pas à commenter cet article !
Quid de l'argument "le HTTPS augmente la consommation d'électricité et donc la signature carbone" ? Des comparatifs à signaler pour relativiser l'importance du phénomène ?
Site perso
Recommandations pour débattre sainement
Références récurrentes :
The Cambridge Handbook of Expertise and Expert Performance
L’Art d’avoir toujours raison (ou ce qu'il faut éviter pour pas que je vous saute à la gorge {^_^})
Pour ce que ça change... Les révélations de Snowden ont démontrées que toutes les connections sécurisées via SSL relevaient désormais d'une grosse farce. Et ce même sans parler de toutes les failles récemment trouvées dans SSL.
Même ici, pour contrôler nos accès Internet, notre service IT n'a rien trouvé de mieux que de payer un fournisseur de sécurité (ZScaler) pour faire "légalement" une attaque de type man in the middle en contrefaisant des certificats...
Merci de penser au tagquand une réponse a été apportée à votre question. Aucune réponse ne sera donnée à des messages privés portant sur des questions d'ordre technique. Les forums sont là pour que vous y postiez publiquement vos problèmes.
suivez mon blog sur Développez.
Programming today is a race between software engineers striving to build bigger and better idiot-proof programs, and the universe trying to produce bigger and better idiots. So far, the universe is winning. ~ Rich Cook
Ç'est comique de lire ça sur un site en http...
La certification devrait devenir la norme !
A première vue, l'idée, qu'elle est bonne sauf que le surcout lié à l'obtention d'un certificat
induit immanquablement une confiscation du libre aux particuliers au profit de l'entreprise pour le plus grand nombre !
Déjà à ce jour, le téléchargement et l'installation de sharewares depuis un site perso en présence d'un anti-virus chez le client
est devenu tache quasi impossible sans une certification.
Le mieux est parfois l'ennemi du bien encore que l'inflexion de la tendance par les majors n'est probablement pas innocente.
Une réaction semble se mettre en marche avec une certification 'Free' dans les mois à venir
... mais cette solution suppose aussi de ne pas dépendre d'un hébergement mutualisé
pour lequel la plupart des hébergeurs imposent leur solution payante
et si l'on doit passer par un hébergement dédié, le cout hébergement+certification gratuite sera encore largement supérieur.
Qui vivra verra.
C'est pas grave, l'important dans tout ça c'est de donner aux gens l'impression qu'ils sont en sécurité et qu'on s'occuper de leur sécurité. La généralisation d'un principe utilisé en politique en somme...Envoyé par bouye
Ça fait des années qu'on attend une initiative comme https://letsencrypt.org/
La sécurité devrait être la norme, accessible à tous facilement et gratuitement. Et on devrait pouvoir choisir le fournisseur des clés parmi tout un panel de prestataires. Parce que des certificats SSL gratuits en veux-tu en voilà, c'est bien beau mais peut-on vraiment parler de tiers de confiance quand ils viennent de sociétés basées aux USA ou en Israël, et soumises aux lois desdits pays.
One Web to rule them all
Je plussoie le choix du/des tiers de confiance. Si on peut tout à fait imaginer que certains arrivent à devenir des tiers de confiance globaux du fait de leur notoriété, avoir des tiers de confiance décidés par d'autres manque de crédibilité : il faut forcément que ces entités soient considérées comme étant de confiance selon des critères définis, mais pour autant que je sache on ne m'a jamais demandé mon avis pour savoir si je faisais confiance à VeriSign ou si les critères de confiance qui le certifie me conviennent. Et je devrai partir du principe que ce que me dis VeriSign est forcément vrai selon des critères qui me sont tout à fait étrangers ? Drôle de notion de confiance.
Site perso
Recommandations pour débattre sainement
Références récurrentes :
The Cambridge Handbook of Expertise and Expert Performance
L’Art d’avoir toujours raison (ou ce qu'il faut éviter pour pas que je vous saute à la gorge {^_^})
Ça ne serait pas encore la porte ouverte aux excuses bidons pour ajouter de futures restrictions et mieux cibler la navigation, par hasard ?On notera que les choses vont beaucoup plus loin, puisque certaines fonctionnalités sensibles risquent même d'être rendues indisponibles sur le protocole HTTP classique.
Nan parce que dans son contexte, cette phrase m'inquiète un peu.
Avant de poster: FAQ Rust; FAQ Dart; FAQ Java; FAQ JavaFX.
Vous souhaiteriez vous introduire au langage Rust ? C'est par ici ou ici !
Une question à propos du langage ? N'hésitez pas à vous rendre sur le forum !
Pour contribuer à la rubrique, vous pouvezme contacter par MP(Sorry, we're closed!) ou contacter directement la rédaction.
A priori non, vu que n'importe qui peut mettre en place une connexion HTTPS pour pas un rond (ce n'est que l'enregistrement du certificat auprès d'un organisme de confiance qui coûte). Donc par définition ça ne serait pas bloquant.
Site perso
Recommandations pour débattre sainement
Références récurrentes :
The Cambridge Handbook of Expertise and Expert Performance
L’Art d’avoir toujours raison (ou ce qu'il faut éviter pour pas que je vous saute à la gorge {^_^})
A priori non, vu que n'importe qui peut mettre en place une connexion HTTPS pour pas un rond (ce n'est que l'enregistrement du certificat auprès d'un organisme de confiance qui coûte). Donc par définition ça ne serait pas bloquant.Qu'en sera-t-il pour ceux qui n'ont pas les moyens d'avoir un certificat auprès "d'un organisme de confiance", dans ce cas ?
EDIT: Après relecture, il y a un projet pour accéder à des certificats gratuits.
Ça aussi ça sonne faux pour moi. Si Google avait pour souci la sécurité de ses clients, ça se saurait. Si c'est pour chiffrer "toutes" les connexions vers divers sites web pour récupérer les infos à l'arrivée, autant rester en http, le proco à long terme s'en sentira soulagé.Mais attention : Google rappelle également dans cette même annonce, et à plusieurs reprises, sa volonté très forte d'encourager un passage massif au HTTPS
M'enfin, il n'y a peut-être que de la bonne volonté derrière tout ça.
Avant de poster: FAQ Rust; FAQ Dart; FAQ Java; FAQ JavaFX.
Vous souhaiteriez vous introduire au langage Rust ? C'est par ici ou ici !
Une question à propos du langage ? N'hésitez pas à vous rendre sur le forum !
Pour contribuer à la rubrique, vous pouvezme contacter par MP(Sorry, we're closed!) ou contacter directement la rédaction.
Merci de m'épargner les rappels fastidieux. {^_^}
D'ailleurs ils ne devraient pas tarder à ouvrir :
https://letsencrypt.org//2015/08/07/...-schedule.html
Quand tu as directement accès aux données, tu te fiches pas mal de où elles transitent. Pour Google, ça ne mange pas de pain de tout passer en HTTPS, vu que les gens créent des comptes chez lui et mettent leurs vies dessus. Le HTTPS, c'est justement pour ceux qui ne sont pas destinés à recevoir les fameuses données. Ceux-là n'ont pas d'autre choix que de regarder ce qui passe, et le HTTPS permet d'éviter ça. Au contraire, ça ne donne que plus de force à Google, qui peut monnayer plus cher les données que lui a.Ça aussi ça sonne faux pour moi. Si Google avait pour souci la sécurité de ses clients, ça se saurait. Si c'est pour chiffrer "toutes" les connexions vers divers sites web pour récupérer les infos à l'arrivée, autant rester en http, le proco à long terme s'en sentira soulagé.
M'enfin, il n'y a peut-être que de la bonne volonté derrière tout ça.
Site perso
Recommandations pour débattre sainement
Références récurrentes :
The Cambridge Handbook of Expertise and Expert Performance
L’Art d’avoir toujours raison (ou ce qu'il faut éviter pour pas que je vous saute à la gorge {^_^})
Aucun problème !Merci de m'épargner les rappels fastidieux. {^_^}
D'ailleurs ils ne devraient pas tarder à ouvrir :
https://letsencrypt.org//2015/08/07/...-schedule.html
J'en suis bien conscient, le fait est que ça n'avantage qu'en façade l'utilisateur en plus de consommer directement pas mal de ressources sur le long terme chez ce dernier si la "majorité" (je pèse mes mots) des sites web venaient à bénéficier d'une connexion chiffrée.Quand tu as directement accès aux données, tu te fiches pas mal de où elles transitent. Pour Google, ça ne mange pas de pain de tout passer en HTTPS, vu que les gens créent des comptes chez lui et mettent leurs vies dessus. Le HTTPS, c'est justement pour ceux qui ne sont pas destinés à recevoir les fameuses données. Ceux-là n'ont pas d'autre choix que de regarder ce qui passe, et le HTTPS permet d'éviter ça. Au contraire, ça ne donne que plus de force à Google, qui peut monnayer plus cher les données que lui a.
Avant de poster: FAQ Rust; FAQ Dart; FAQ Java; FAQ JavaFX.
Vous souhaiteriez vous introduire au langage Rust ? C'est par ici ou ici !
Une question à propos du langage ? N'hésitez pas à vous rendre sur le forum !
Pour contribuer à la rubrique, vous pouvezme contacter par MP(Sorry, we're closed!) ou contacter directement la rédaction.
Aurais-tu des études comparatives pour voir la différence de consommation entre HTTP et HTTPS ? Parce que c'est le seul argument dont je me souviens qui ait un tant soit peu de valeur concrète (qui s'appuie sur des valeurs objectives), mais je n'ai pas vu une seule source donnée pour étayer l'argument.
Site perso
Recommandations pour débattre sainement
Références récurrentes :
The Cambridge Handbook of Expertise and Expert Performance
L’Art d’avoir toujours raison (ou ce qu'il faut éviter pour pas que je vous saute à la gorge {^_^})
Bonjour,Aurais-tu des études comparatives pour voir la différence de consommation entre HTTP et HTTPS ? Parce que c'est le seul argument dont je me souviens qui ait un tant soit peu de valeur concrète (qui s'appuie sur des valeurs objectives), mais je n'ai pas vu une seule source donnée pour étayer l'argument.
Bof, je spécule beaucoup (chiffrement => effort de plus pour le processeur logiquement), ça ne pourra peut-être être constaté que quand l'https sera la norme. C'est cet effort répété qui me paraît être un vrai gouffre à ressources.
Et malheureusement non, mis à part le fait que l'https est réputé pour être "lent", je n'ai jamais vu d'études sérieuses qui comparent la consommation réelle entre les deux protocoles.
Cela dit, si tu trouves quelque chose à ce sujet, je suis preneur aussi.
Avant de poster: FAQ Rust; FAQ Dart; FAQ Java; FAQ JavaFX.
Vous souhaiteriez vous introduire au langage Rust ? C'est par ici ou ici !
Une question à propos du langage ? N'hésitez pas à vous rendre sur le forum !
Pour contribuer à la rubrique, vous pouvezme contacter par MP(Sorry, we're closed!) ou contacter directement la rédaction.
Zut!
Dans l'absolu je suis tout à fait d'accord, plus de calcul donc plus de consommation. Ça je pense que personne ne le contredira. C'est vraiment sur l'importance relative du phénomène que la question se pose. Si on multiplie la consommation par 100, l'argument aura un intérêt certain, mais si on la multiplie par 1.01, il vaut peut-être mieux consommer un peu plus et ne plus se poser la question. Après il y a ceux qui sont justement contre le fait de ne plus se poser la question, mais ça fait partie des arguments subjectifs.
Site perso
Recommandations pour débattre sainement
Références récurrentes :
The Cambridge Handbook of Expertise and Expert Performance
L’Art d’avoir toujours raison (ou ce qu'il faut éviter pour pas que je vous saute à la gorge {^_^})
Bonsoir,
Dans l'absolu je suis tout à fait d'accord, plus de calcul donc plus de consommation. Ça je pense que personne ne le contredira. C'est vraiment sur l'importance relative du phénomène que la question se pose. Si on multiplie la consommation par 100, l'argument aura un intérêt certain, mais si on la multiplie par 1.01, il vaut peut-être mieux consommer un peu plus et ne plus se poser la question.
Bien entendu.
J'espère en tout cas qu'on accordera, à l'avenir, plus d'attention à cette fameuse différence de consommation, il ne faudrait pas se rendre compte trop tard qu'on héberge clandestinement un frigo très gourmand si on ne se fie qu'à la consommation énergétique. (Bon, allez, j'arrête l'extrapolation)
Bonne soirée !
Avant de poster: FAQ Rust; FAQ Dart; FAQ Java; FAQ JavaFX.
Vous souhaiteriez vous introduire au langage Rust ? C'est par ici ou ici !
Une question à propos du langage ? N'hésitez pas à vous rendre sur le forum !
Pour contribuer à la rubrique, vous pouvezme contacter par MP(Sorry, we're closed!) ou contacter directement la rédaction.
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Répondre avec citation
Partager