Retenez votre respiration : Let'sEncrypt est touché par une faille de sécurité présentement colmatée par la suppression pure et simple d'un protocole très utilisé. Ils devraient sortir un correctif d'ici une semaine...

Quel certificat SSL choisir ? Vous avez reçu le message de Google dans Search console "La collecte non sécurisée de mots de passe entraînera l'affichage d'avertissements" et vous paniquez devant la complexité des offres de certificats. Faut-il choisir un certificat DV, ou un OV, ou un EV ? Ce billet est un résumé pour vous aider à choisir et passer au https.

Free annonce qu’il « supporte le projet Let’s Encrypt », une autorité de certification libre, automatisée et ouverte qui est proposée par ISRG (groupe de recherche sur la sécurité Internet).

Lavabit won a victory in court and were able to get the secret court order [which led to the site's closure] unsealed. The ACLU's Chris Soghoian called it the nuclear option: The court order revealed the FBI demanded Lavabit turn over their root SSL certificate, something that would allow them to monitor the traffic of every user of the service. Lavabit offered an alternative method to tap into the single user in question but the FBI wasn't interested. Lavabit could either comply or shut down. As such, no U.S. company that relies on SSL encryption can be trusted with sensitive data. Everything from Google to Facebook to Skype to your bank account is only encrypted by SSL keys, and if the FBI can force Lavabit to hand over their SSL key or face shutdown, they can do it to anyone.

Ma conclusion est simple: le modèle de sécurité des autorités de certification ne vous protège que contre les attaques passives (écoute d'une connexion SSL). Mais pas contre les attaques actives (man-in-the-middle SSL, authentification par certificat client, signature de code, etc.). Et ça n'est pas prêt de changer.

jCryption est une librairie javascript qui permet à n’importe qui de chiffrer les envois de formulaire de ses sites, d’une manière similaire à SSL mais sans SSL. La librairie est bâtie sur JQuery et les librairies de Multiple Precision et de Barrett (RSA en javascript).

StarCom croit au droit de protéger et de sécuriser l’échange d’information entre deux entités sans discrimination de race, d’origine, de religion ou de ressources financières.