Les certificats SSL

Alors, plusieurs informations tout d'abord :

Le certificat SSL que tu peux acheter chez OVH ne te permet en réalité que d'avoir un avantage : ne pas avoir d'avertissement comme quoi le certificat utilisé par ton site n'est pas reconnu.

Néanmoins, à partir du moment que tu configure ton apache et ton site pour utiliser le protocole HTTPS, tes échanges clients <-> serveurs seront en effet cryptés.

Donc, quand tu achète ton certificat, tu achète en fait la reconnaissance de la sécurité de ton site auprès d'une autorité (ici OVH). Cette autorité étant reconnu par les navigateurs, il n'y a donc plus d'avertissement par le navigateur.

Pour le plan plus technique, à partir de moment que tu envois tes requêtes à partir d'une source HTTPS et qu'on te répond par le même protocole, ça sera crypté. Néanmoins, a ce jour, il n'a pas été recensé de piratage de donnée à la volée comme tu le craint.

pagetronic : c'est une méthode bien crade pour éviter de configurer correctement ses entêtes de cache oui.

Sous Debian PHP vérifie les certificats, au moins pour l'IMAP et le POP. Pour le HTTP, c'est aussi vérifié quand on passe par CURL, mais aucune idée pour ce qui est du wrapper http.

pagetronic : mouais, je veux bien croire que dans ton cas le proxy soit configuré de manière à mettre un peu trop en cache, mais bien souvent c'est parce que le site fait nawak avec les entêtes.

xasfullweb : comme l'expliquait Dob, un certificat signé ça te sert aussi à vérifier que ton interlocuteur/serveur est bien celui que tu penses. Donc si des données sensibles, ne serait ce que login/pass quoi, c'est important : ça ne sert à rien de crypter le transfert si le serveur en face est celui d'un pirate...

Bonjour,

D'après les diverses recherches que j'avais faites, le certificat que tu paies va avec la garantie qu'elle te donne (plus c'est cher plus tu es couvert en € en cas de pépin).

Moi perso pour mon site ou c'est juste les données de mes clients (pas de carte bancaire ou autre). Je trouvais que le certificat http://www.trustico.eu/rapidssl/who-is-rapidssl.ph... était le moins cher qu'il existe...

Après comme dit rapport qualité/prix ça dépend juste de l'assurance que tu souhaites, mais entre celui que je te donne et celui d’ovh il n'y a pas de différence,

Ludovic

sinon pour le certificat de ton dédié, c'est parce que c'est un certificat auto-signé. Il te permet juste de profiter du https (pour webmin par exemple)
Tu peux d'ailleurs toi-même générer des certificats sur ton serveur. Le certificat que tu achètes chez ovh en revanche, est généré spécifiquement pour ton site selon l'enregistrement DNS associé

Chez StartSSL (gratuit, mais reconnu que par les navigateurs/OS récents), c'est le "court" qui est ajouté automatiquement. Si tu prends admin.bidule.tld ils ajoutent systématiquement bidule.tld avec.

Autre petite question, lorsqu'un navigateur non compatible tente d'accèder au site, que se passe-t-il ? La connexion n'est pas cryptée ou le site est inaccessible (protocole non compatible je pense) ?

Pour le certificat dont j'ai donné le lien, il est installé pour un de nos clients, j'ai testé avec IE6, Firefox, opéra, safari, etc. C'est passé comme une lettre à la poste...

Pour quoi payer 100€ si pour beaucoup moins cher on a le même service.

Maintenant pour un traitement de carte de crédit par exemple je pense qu’on fait plus sérieux d'être vérifié par Verisign. Comme dit précédemment ça dépend la finalité du certificat.

En ce qui concerne CURL, il y a une option qui permet de passer outre (ou pas) la vérification du certificat. Avec PHP plus généralement, ce qui est possible avec CURL l'est souvent aussi avec les options des stream_sockets...

Je me demandais justement si on pouvait échapper au certificat payant Perso, autant je trouve très important d'utiliser le ssl dans certains cas, pour des raisons de sécu, autant le coup des certificats j'aime pas trop. Ca ressemble plus à du racket qu'à autre chose et surtout pour ce qui est du cryptage en lui-même, ça ne change rien.

Il faut déjà bien potasser le sujet pour comprendre au moins le principe du https, alors les certificats... Que ce soit une banque ou autre je doute qu'un seul client ne fasse la difference entre un certificat en vert ou pas D'autant que pour la plupart de ceux qui utilisent des certificats blindés (banques, gmail et autres) ils nous ont habitués à oublier de temps à autres le renouvellement, ou à utiliser un domaine externe non déclaré etc. Autant d'erreurs qui déclenchent des alertes que les gens ne comprennent pas de toutes façons, ils cliquent sur continuer et basta Ce qui me fait vraiment penser qu'on paye les certificats pour que dalle.