Faire une config Https/SSL gratuitement

Bonjour,
Je met ici des outils/sites qui peuvent servir pour se monter un serveur Https.

Pour obtenir un certificat reconnu et gratuit :

• letsencrypt.org
• startssl.com

Le premier est tout récent, la béta public à ouvert début nov 2015. Les certificats peuvent être multi-domaine mais pas de wildcard, expire tous les 90 jours. Fondé par des grand nom (EFF, Mozilla, Cisco, …), veut que le renouvellement soit complètement automatisé et transparent. C’est clairement le service recommandé actuellement. Je pense qu’ils vont faire une sérieuse concurrence à CACert.
Le second est là depuis un petit moment, a tous les travers des grands certificateurs, mais offre un service de base gratuit.

Pour se faire une configuration de son serveur correcte :

• mozilla.github.io/server-side-t … generator/

Et enfin pour vérifier le tout :

• ssllabs.com/ssltest/

La révocation est payante chez eux non ?
Ça ne me met pas vraiement à l’aise ce genre de pratique, c’est un coup à ce que des certificats compromis restent considérés comme valides parce que l’administrateur du site ne peut/veut pas assumer ces frais.

En effet, c’est pour cela que je dit «de base», ou il fallait comprendre juste l’émission mono domaine & sous domaine. Tout le reste est payant. Après un admin qui utilise «juste» le service gratuit ne m’inspirerait pas confiance. Et je le pousserais fortement a passer a «Let’s Encrypt».

Je ne suis pas utilisateur de Let’s Encrypt qui à mon avis participe à légitimer le système de CA, système qui ne m’inspire aucune confiance et face auquel j’espère un jour voir des alternatives viables.
Mais dans la jungle des CA, Let’s Encrypt reste pour moi un des “moins pire” avec CACert.

En effet pour moi aussi le système des CA est déficiente par défaut, nécessiter un tiers de confiance qui en retire un bénéfice financier ne m’inspire gère confiance. Le système n’est pas exclusif au certificat, mapreuve.com, ça donne un faux sentiment de sécurité qui est pire que tout (un peu comme les caméra dans les rues, mais c’est un autre débat).

Pour un système alternatif je n’en n’ai pas encore trouver un vraiment viable aussi.

C’est impossible de s’identifier sans un tiers déclaré de confiance. Les clefs gpg utilisées par debian pour ses dépots sont sur ce principe.
Le problème est d’être sur que le site sur lequel tu vas est le bon site. Tu n’as pas dix mille solutions: L’authentification avant, pendant et après connexion, soit

• Le site t’est présenté par quelqu’un (un DNS), c’est l’authentification dérisoire par les DNS.
• Le site présente une carte d’identité, c’est le principe des certificats. Il te faut faire confiance à l’émétteur des certificats
• Tu marques le site au préalable (genre de cookie inversé) mais rien n’interdit le vol (c’est même plus simple)

L’idéal serait que la certification soit un service public au même titre que la signature des clefs GPG mais ce que tu ne payes pas serait financé par les impots.
J’avoue que startSSL que j’utilises depuis 2-3 ans me rend bien service.