Je crois aussi que l'article loupe le coche : en forçant le changement de certificat tous les 3 mois, Let's encrypt permet de passer très rapidement aux nouvelles technologies cryptographiques (pour les certificats). Pour moi, Let's encrypt permet justement de renforcer la sécurité générale, car elle évitera que des certificats trop faible persistent sur le web trop longtemps.
De même, le paragraphe suivant me paraît un peu douteux:
Sachant que HSTS réclame a minima 18 semaines (126 jours) pour pouvoir être intégré par défaut aux navigateurs, 6 mois (180 jours) pour être considéré comme A+ sur SSLLabs ou encore que la norme HPKP préconise 60 jours de délai de rétention, les 90 jours de Let’s Encrypt sont totalement en dehors des clous.
HSTS sert surtout à dire que ce site devrait être uniquement accédé par HTTPS pour les x prochains jours (dès que la première visite sur HTTPS a eu lieu). Ce n'est pas du tout lié au certificat utilisé, c'est juste un indice de redirection côté navigateur.
Je ne connais pas HPKP, mais s'il ne permet pas de changer les certificats assez aisément (donc avec une automatisation) et fréquemment, alors pour moi c'est lui qui pose problème. En effet, je ne prendrai jamais le risque de rendre mes sites inaccessibles à cause d'une erreur de manipulation d'administration système (l'erreur est humaine et fréquente). Mais je prends les remarques de cet article avec des pincettes vu les points précédents...
[^] # Re: Let’s Encrypt
Posté par Adrien Dorsaz (site web personnel, Mastodon) . En réponse au journal L'avenir de la sécurité de nos sites oueb : DNSSEC / HPKP / DANE TLSA / CSP. Évalué à 6. Dernière modification le 04 janvier 2016 à 21:04.
Je crois aussi que l'article loupe le coche : en forçant le changement de certificat tous les 3 mois, Let's encrypt permet de passer très rapidement aux nouvelles technologies cryptographiques (pour les certificats). Pour moi, Let's encrypt permet justement de renforcer la sécurité générale, car elle évitera que des certificats trop faible persistent sur le web trop longtemps.
De même, le paragraphe suivant me paraît un peu douteux:
HSTS sert surtout à dire que ce site devrait être uniquement accédé par HTTPS pour les x prochains jours (dès que la première visite sur HTTPS a eu lieu). Ce n'est pas du tout lié au certificat utilisé, c'est juste un indice de redirection côté navigateur.
Je ne connais pas HPKP, mais s'il ne permet pas de changer les certificats assez aisément (donc avec une automatisation) et fréquemment, alors pour moi c'est lui qui pose problème. En effet, je ne prendrai jamais le risque de rendre mes sites inaccessibles à cause d'une erreur de manipulation d'administration système (l'erreur est humaine et fréquente). Mais je prends les remarques de cet article avec des pincettes vu les points précédents...