Chrome, Firefox et recherches Google : passage en force du HTTPS

Pour ce que ça change... Les révélations de Snowden ont démontrées que toutes les connections sécurisées via SSL relevaient désormais d'une grosse farce. Et ce même sans parler de toutes les failles récemment trouvées dans SSL.
Même ici, pour contrôler nos accès Internet, notre service IT n'a rien trouvé de mieux que de payer un fournisseur de sécurité (ZScaler) pour faire "légalement" une attaque de type man in the middle en contrefaisant des certificats...

Quid de l'argument "le HTTPS augmente la consommation d'électricité et donc la signature carbone" ? Des comparatifs à signaler pour relativiser l'importance du phénomène ?

Ç'est comique de lire ça sur un site en http...

La certification devrait devenir la norme !
A première vue, l'idée, qu'elle est bonne sauf que le surcout lié à l'obtention d'un certificat
induit immanquablement une confiscation du libre aux particuliers au profit de l'entreprise pour le plus grand nombre !

Déjà à ce jour, le téléchargement et l'installation de sharewares depuis un site perso en présence d'un anti-virus chez le client
est devenu tache quasi impossible sans une certification.

Le mieux est parfois l'ennemi du bien encore que l'inflexion de la tendance par les majors n'est probablement pas innocente.
Une réaction semble se mettre en marche avec une certification 'Free' dans les mois à venir
... mais cette solution suppose aussi de ne pas dépendre d'un hébergement mutualisé
pour lequel la plupart des hébergeurs imposent leur solution payante
et si l'on doit passer par un hébergement dédié, le cout hébergement+certification gratuite sera encore largement supérieur.

Qui vivra verra.

Ça fait des années qu'on attend une initiative comme https://letsencrypt.org/

La sécurité devrait être la norme, accessible à tous facilement et gratuitement. Et on devrait pouvoir choisir le fournisseur des clés parmi tout un panel de prestataires. Parce que des certificats SSL gratuits en veux-tu en voilà, c'est bien beau mais peut-on vraiment parler de tiers de confiance quand ils viennent de sociétés basées aux USA ou en Israël, et soumises aux lois desdits pays.

Je plussoie le choix du/des tiers de confiance. Si on peut tout à fait imaginer que certains arrivent à devenir des tiers de confiance globaux du fait de leur notoriété, avoir des tiers de confiance décidés par d'autres manque de crédibilité : il faut forcément que ces entités soient considérées comme étant de confiance selon des critères définis, mais pour autant que je sache on ne m'a jamais demandé mon avis pour savoir si je faisais confiance à VeriSign ou si les critères de confiance qui le certifie me conviennent. Et je devrai partir du principe que ce que me dis VeriSign est forcément vrai selon des critères qui me sont tout à fait étrangers ? Drôle de notion de confiance.

Ça ne serait pas encore la porte ouverte aux excuses bidons pour ajouter de futures restrictions et mieux cibler la navigation, par hasard ?

Nan parce que dans son contexte, cette phrase m'inquiète un peu.

A priori non, vu que n'importe qui peut mettre en place une connexion HTTPS pour pas un rond (ce n'est que l'enregistrement du certificat auprès d'un organisme de confiance qui coûte). Donc par définition ça ne serait pas bloquant.