Let’s Encrypt : joies… et déceptions ! - Oros links
mercredi 16 décembre 2015 à 10:51Il y a quand même plein de trucs faux et irréalistes.
De manière générale je procède comme ça avec les trucs écrits par Aeris : Si il dit qu'un truc est bien, ça doit probablement est vrai. Si il dit qu'un truc est pourri du cul, troué, pas safe ou dangereux je facepalme un peu et puis je vais boire un thé.
En l'occurence :
- « CAcert qui […] réclamait la rencontre physique de plusieurs personnes de la communauté pour pouvoir émettre son premier certificat » C'est faux : https://twitter.com/bortzmeyer/status/676658617848868864
- « il ne sert à rien de rester dans la zone rouge de la crypto surtout quand l’usage d’une clef de 4096 bits n’est absolument pas une contrainte. » Les clés supérieures à 2048 manquent encore de support notamment sur les mobiles
- À propos des clés de 2048b « Cette taille est dorénavant très insuffisante, et déconseillée officiellement par l’ANSSI » C'est mensonger. L'ANSSI recommande une taille supérieure à 2048 si la clé est prévue pour durer jusqu'en 2030. (C'est en page 17 du PDF vers lequel il met un lien sachant pertinemment que peu de gens le liront) Une clé RSA de 2048b est LARGEMENT suffisante pour des certificats valides 90 jours.
- « Arrêt de production ou HTTPS only non supporté » Là encore c'est trompeur puisque d'un côté on dispose de mode permettant à la prod de continuer de tourner et de l'autre il blâme une limitation d'un client non-officiel dont le patch est « trivial »
- « Non prise en compte de DANE/TLSA » Ici il est juste de pure mauvaise fois puisque cette techno a pour motivation principale de rendre obsolète l'existence des autorités de certification en permettant de publier la clé publique d'un certificat dans la zone DNS, le certificat étant du coup considéré valide même si il est autosigné.
Donc comme d'habitude, il jette le bébé avec l'eau du bain en ne regardant la sécurité que depuis sa lorgnette en fantasmant un écosystème parfait où il n'existe qu'une seule version de chaque navigateur (la dernière) et où le monde suit exactement les mêmes pratiques que lui.
(Permalink)
De manière générale je procède comme ça avec les trucs écrits par Aeris : Si il dit qu'un truc est bien, ça doit probablement est vrai. Si il dit qu'un truc est pourri du cul, troué, pas safe ou dangereux je facepalme un peu et puis je vais boire un thé.
En l'occurence :
- « CAcert qui […] réclamait la rencontre physique de plusieurs personnes de la communauté pour pouvoir émettre son premier certificat » C'est faux : https://twitter.com/bortzmeyer/status/676658617848868864
- « il ne sert à rien de rester dans la zone rouge de la crypto surtout quand l’usage d’une clef de 4096 bits n’est absolument pas une contrainte. » Les clés supérieures à 2048 manquent encore de support notamment sur les mobiles
- À propos des clés de 2048b « Cette taille est dorénavant très insuffisante, et déconseillée officiellement par l’ANSSI » C'est mensonger. L'ANSSI recommande une taille supérieure à 2048 si la clé est prévue pour durer jusqu'en 2030. (C'est en page 17 du PDF vers lequel il met un lien sachant pertinemment que peu de gens le liront) Une clé RSA de 2048b est LARGEMENT suffisante pour des certificats valides 90 jours.
- « Arrêt de production ou HTTPS only non supporté » Là encore c'est trompeur puisque d'un côté on dispose de mode permettant à la prod de continuer de tourner et de l'autre il blâme une limitation d'un client non-officiel dont le patch est « trivial »
- « Non prise en compte de DANE/TLSA » Ici il est juste de pure mauvaise fois puisque cette techno a pour motivation principale de rendre obsolète l'existence des autorités de certification en permettant de publier la clé publique d'un certificat dans la zone DNS, le certificat étant du coup considéré valide même si il est autosigné.
Donc comme d'habitude, il jette le bébé avec l'eau du bain en ne regardant la sécurité que depuis sa lorgnette en fantasmant un écosystème parfait où il n'existe qu'une seule version de chaque navigateur (la dernière) et où le monde suit exactement les mêmes pratiques que lui.
(Permalink)