Félicitations les gars
Et gg pour le changement de titre
Le 29 juin 2020 à 14:47:10 Leirok a écrit :
Je passe le topic en "résolu" du coup.
Et le HSTS c'est pour les lamas ????
Allez OK j'arrête, gg déjà, j'espère que votre gestion du cycle de vie des certifs tient la route
Le 29 juin 2020 à 14:55:56 Sombracier29 a écrit :
Bref un petit badge pour ceux qui ont vécu le passage?
Tu veux pas un rang plutôt ?
Le 30 juin 2020 à 01:00:47 Google_Bot a écrit :
Et le HSTS c'est pour les lamas ????Allez OK j'arrête, gg déjà, j'espère que votre gestion du cycle de vie des certifs tient la route
Chaque chose en son temps.
Ne leur parle pas de DNSSEC.
Ni du support de TLS 1.3. Sans même parler d'OCSP stapling, HPKP, du support de crypto state of the art, même si ça c'est moins nécessaire et compréhensible vu le public.
Par contre le certificat a une validité de plus de 365 jours, ça fera pas bon ménage avec Safari puis FF/Chrome qui vont bientôt capper à un an maximum.
C'est quoi ? En cherchant Google ça ressemble juste à une redirection forcée du http vers https (si t'as pas tapé https)
Une contre-mesure pas très coûteuse qui permet de parer les attaques type sslstrip
.
Mais bon, le mec qui arrive à faire un MITM entre toi et JVC pour ensuite tenter un sslstrip, c'est qu'il voulait vraiment ton pseudo, le risque est relativement faible compte tenu de la valeur d'un pseudo JVC
Déjà avec HTTPS on est pas mal
Par contre le certificat a une validité de plus de 365 jours, ça fera pas bon ménage avec Safari puis FF/Chrome qui vont bientôt capper à un an maximum.
Oopsi