Programme technique 2024 - certificats SSL?

Bonjour,

Le rapport moral fourni pour l’AG mentionne l’intention de fournir des clés DKIM pour les comptes mail : ça fait saliver.

Un point que peut-être vous voudrez débattre c’est cet épineux problème posé par les personnes malhonnêtes qui trashent la réputation d’Ouvaton en utilisant ses sous-domaines pour spammer et autres.

J’ai la semaine passé cherché à mieux comprendre les procédures d’obtention des certificats SSL via Let’s Encypt et notamment enregistré que leur services étant entièrement automatisés, les initiatives visant à prévenir les abus d’utilisation des domaines ne pouvaient venir en conséquence que côté demandeur.

En vous priant de m’excuser d’avance si ça vous paraissait naïf ou inapplicable (je suis newbie là-dessus) je me demande si un moyen de rétablir la réputation d’Ouvaton ne consisterait pas à révoquer son certificat Wildcard pour passer à une systémique d’attribution de certificats pour chaque sous-domaine individuellement. Ainsi - je peux me tromper - peut-être les auteurs d’abus et autres malhonnêtetés pourraient-ils être pénalisés sans que leurs comportement n’impactent les autres sous-domaine ou le domaine parent.

Bien sûr je n’ai aucune idée ni de l’efficacité potentielle ni de la faisabilité de telles modifications.
Je pars ici juste du constat que le « wildcard » soit, par définition, sans doute pratique de prime abord mais assurément pénalisant dans le cadre d’un usage à finalité collective.

Merci à la plateforme et à celles et ceux qui la font vivre. Et bon courage à toutes et tous pour la suite.

Philippe

1 Like

Bonjour,

Merci pour cette suggestion !

Nous utilisons un certificat wildcard pour la majorité des services en ouvaton.coop et parfois un certificat spécifique pour certains sous domaines ouvaton.coop (ce forum par exemple).
Pareil pour ouvaton.org et donc les sites en https://quelquechose.ouvaton.org.

La création et les renouvellements de ces certificats exigent une étape de validation, il n’est donc pas facile de créer un certificat valide de ouvaton.coop ou ouvaton.org pour un tiers.

Nous demandons à Let’s Encrypt un certificat dédié pour chaque espace web utilisant un nom de domaine appartenant à une personne utilisatrice de notre plateforme, avec là aussi une étape de validation.

L’utilisation de certificats pour chaque sous domaine ne va pas avoir d’impact sur la réputation de notre serveur en cas de piratage d’un site ou d’une adresse mail pour émettre des spams, dans la majorité des cas c’est l’adresse IP du serveur qui est bloquée et grâce au travail quotidien de notre infogérant, nous n’avons pas eu de gros blocage de notre serveur depuis plus de 3 ans maintenant. :slight_smile:

2 Likes

Bonjour,

Je tiens à saluer la volonté de fournir des clés DKIM à tous!
C’est une avancée technique majeure.

Merci,

2 Likes