Discussion :

[Aéris22]

Le problème n'est pas les réguliers, mais ceux qui viennent pour la première fois. Et je ne vois pas comment faire afficher le message avant l'avertissement du certificat, vu qu'ils ne sont encore jamais venus et que c'est uniquement à la première visite qu'il apparaît (enfin si on accepte de conserver l'« exception de sécurité »).

C'est sûr qu'on est actuellement en phase d'œuf et de la poule. Pour utiliser de l'autosigné, faudrait former les utilisateurs. Pour former les utilisateurs, faudrait arrêter les root-CA. Pour arrêter les root-CA, faudrait de l'autosigné… ><
Heartbleed devrait quand même être un sacré électro-choc à ce sujet…

[forthx]

Non, ça se fait sans problème. L'IETF songe carrément à l'intégrer en natif (voir ici).

Rien n'empêche le passionné de faire un petit server chez lui pour le fun et de ne pas utiliser d'échange sécurisé avec ses client.
On pourrai envisager de proposer une solution matériel qui sécurise automatiquement l'échange (couche transport ou session du model OSI?) mais actuellement, en parlant du web on est avec le model TCP/IP, couche application (géré de façon logicielle la plupart du temps). Du coup ca demande de changer pas mal de matos (on pourrai envisager par exemple que les routeurs chiffrent à la volé les données des paquet TCP).

Apres ok le HTTP2.0 chiffré en natif... Je ne nie pas l'impact, mais a moins de convaincre tout les clients de refuser tout échange en HTTP1.1, le web est loin d'être "chiffrer en entier". Quant on vois certain sites commerciaux qui sont encore sur du http pour l'envoi de numéros de carte de crédit (comme elyatel) ca laisse songeur

SSL/TLS étant un chiffrement point-à-point, ton FAI n'a absolument pas accès au contenu en clair d'un échange chiffré par SSL/TLS. Même s'il avait accès à l'intégralité des paquets du monde.

En effet, j'ai confondu lecture et écriture, au temps pour moi.

HTTPS fait encore plus l'affaire

Ce n'est pas l'avis de mon hébergeur pour le moment, et mon serveur perso, comme c'est moi qui l'ai écrit (il ne gère que le get en http) ...

Pour le reste on est plus ou moins tous d'accord pour dire que l'état actuel des choses n'est pas optimal
Si une sécurisation généralisée des connexions peut amener une solution au message :

Je suis pour !
<troll>
Mais si les renseignement ne peuvent plus espionner que les log des DNS,
comment on va luter contre les méchant terroristes et les pirates de l'informatique?
</troll>

[Aéris22]

On pourrai envisager de proposer une solution matériel qui sécurise automatiquement l'échange (couche transport ou session du model OSI?)

C'est plus ou moins l'idée de l'IETF. Foutre une couche «*Tor*» en dessous (ou au dessus, mais ça serait moins transparent pour les applis, et c'est pas encore très clair) de la couche « Transport ».

[TVorace]

Vous vous plantez de débat les gars, ça va bien plus loin que la seule vie privée, c'est mortel !

(...)les éditeurs de logiciels doivent impérativement utiliser le protocole HTTPS sur leur site de téléchargement sans quoi, ils mettent la vie de leurs utilisateurs en danger.

[Aéris22]

Vous vous plantez de débat les gars, ça va bien plus loin que la seule vie privée, c'est mortel !

Rigole pas avec ça stp… Des personnes ont été tuées en Syrie pour avoir consulté des sites en HTTP ou en HTTPS mais détourné par le gouvernement cause root CA à la con ou utilisé des systèmes privateurs (Skype…).
http://reflets.info/opsyria-bluecoat...and-envergure/
https://about.okhin.fr/posts/Stupid_journos/

[Shuty]

Le prix des certificats restent le principal problème... S'il étaient moins conséquent, on pourrait sécuriser les plus petits sites...
Pour les plus intéressés, StartCom offre gratuitement CA qui ne fait pas hurler les navigateur :
http://cert.startcom.org/

[Aéris22]

Le prix des certificats restent le principal problème... S'il étaient moins conséquent, on pourrait sécuriser les plus petits sites...
Pour les plus intéressés, StartCom offre gratuitement CA qui ne fait pas hurler les navigateur :
http://cert.startcom.org/

$25 la révocation de certificat là-bas. Et l'impossibilité de générer un nouveau certificat tant que l'existant est valide (non expiré ou non révoqué)…

[gangsoleil]

Tu peux m'expliquer pourquoi la moitié de la planète surveillerait mes requêtes HTTP ?

Aujourd'hui, pour te vendre de la pub ciblee : plus je sais ce que tu fais, plus je sais qui tu es, plus je peux vendre de la pub ciblee, et donc gagner de l'argent.

[jumpers]

depuis quelques temps, on a repris un ami et moi, malgré notre peu de connaissance en language web, un projet de site internet, on s'est surtout penché sur la sécurité, on a pensé a un certificat VeriSign, et sécuriser au max, on a vu le prix a l'année de ce genre de services, un utilisateur lambda tels que nous, qui ne sommes pas spécialement riches (voir vraiment pas riches en fait...), et qui ne cherchons pas a faire profit avec ce projet, on se sent dépité de voir que une telle "sécurité" puisse couter aussi cher. des sociétés telles que google, des grandes entreprises etc ont surement les moyens de faire ce genre d'investissements, mais pas nous.
je ne pense même pas qu'une PME puisse s'offrir ce genre de luxes par les temps qui courent. a moins de risquer la faillite. (pour un certificat SSL, c'est un peu con.)
je pense que ce genre de sécurité devraient être un réflexe pour ceux qui en ont les moyens, malgré que tout est toujours bypassable en informatique. (heartbleed l'a prouvé par A + B), mais permet de quand même être plus en sécurité que sans cela. ce genre de choses sont (pour moi) vitales sur le net, qui est un "milieu hostile" ou la moindre info vous sera grappillée, ce genre de solutions devraient être plus abordables, plus accessibles pour les personnes désirant s'aventurer dans les métiers du web. chose que j'aimerais faire.

[Darkbatcher]

Ils sont biens gentils chez google de nous conseiller ça, alors que l'espionnage n'est pas seulement fait par wiretaping

Par exemple, en quoi est-ce que https empêchera google de savoir quelles pages avec googles ads j'ai consulté (attention, y'en a un paquet des pages comme ça). On peut aussi se demander ce qui empêchera facebook ou google+ ou twitter de savoir quelles pages avec des "j'aime" ou des "+1" je visite ? haha, pas si terrible pour la vie privée en fait

Donc après, si les données qui étaient chez la NSA et chez les géants du web, finissent seulement chez les géants du net, pas top. Je sais pas vous, mais je vois aucune raison me poussant à faire plus confiance a une entreprise privée qu'au gouvernement américain...

Du coup je pense que je vais plutôt trafiquer mon fichier '/etc/hosts' , avant de passer a https...

[Pelote2012]

Je n'ai rien contre le HTTPS, sinon le prix exorbitant d'un certificat SSL, qui doit être renouvelé régulièrement ...
Trouvé le compromis entre prix et certificat reconnu ... j'ai l'impression qu'il faut lâcher un gros billet tous les ans.

http://www.trustico.fr/products/rapi...a-bas-prix.php un prix abordable mais Est-ce c'est un bon certificat?