Des certificats SSL délivrés par Google ?

Olivier Duffez (admin)
Membre du personnel
Google va-t-il fournir un service de certificats SSL (gratuits ?) comme le fait Let's Encrypt ? ça serait une bonne façon d'atteindre leur objectif d'imposer HTTPS à tous les sites...

C'est en tout cas ce qu'on peut déduire de cette info officielle de Google, expliquée ici par Frandroid

L'entité en charge de ces certificats pour l'ensemble des activités d'Alphabet (Google) est Google Trust Services : https://pki.goog/

Avant de foncer, rappelez-vous que Google peut désormais fournir (surveiller ?) tous les services suivants :
- le certificat racine
- le nom de domaine
- les DNS
- l'hébergement (si vous prenez Google Sites ou Blogspot)
- la connexion par fibre optique aux États-Unis (mais l'avenir du service ne semble pas garanti)
- le navigateur
- le système d’exploitation
- l'apport de trafic (via son moteur de recherche), y compris en payant
- la monétisation (bannières pub)
- l'outil de mesure d'audience (qui vous dit si le trafic qu'il vous a envoyé a été efficace)
- et bien d'autres

qu'est-ce qu'ils attendent pour offrir un CMS hébergé gratuitement sur leurs serveurs ? qui serait nativement compatible mobile et AMP

google-trust-services-root-certificates.png
 
Nouveau WRInaute
Oui, enfin, ce ne sont que des certificats utilisés pour signer la clé publique d'une paire SSL/TLS public/privée utilisée pour créer une session : à aucun moment Google ou n'importe quelle autre autorité de certificat n'a accès à la clé symétrique générée ensuite par le navigateur pour transférer les données…

Au contraire, je trouve des initiatives comme celle-ci ou Let's Encrypt intéressantes, car tout le monde n'a pas forcément besoin des assurances et options (tel que l'affichage du nom de la société dans le cadre vert de la barre d'adresse) incluses dans les offres payantes des CA actuels. Juste d'une autorité pour signer sa clé.

PS : SSL c'est mort depuis 2014, il faut utiliser TLS maintenant (voir carrément attendre TLSv1.3). ;)
 
WRInaute occasionnel
Drew a dit:
Le monopole est là, enfin, là depuis longtemps bien sûr, pas que cela me dérange, au final cela ne change pas grand chose, lui ou un autre ;-)
J'utilise celui fourni par 1&1 pour mon VPS sous Windows Server, dans l'absolu, le résultat sera le même si je passe par Google, peut-être même meilleur si on pense seulement au poids dans la balance du classement des résultat
Ben moi, le monopole de Google me dérange ... J'ai beau utiliser divers outils de Google (adsense, analytic), son ominprésence devient vraiment inquiétant. Préférerais payer 10 € par an plutôt que de passer par un service supplémentaire de Google.
Dans ma jeunesse, on lisait (imposais) un live en fin d'études secondaires: 1980, c'est pire.

OwInTwIsT a dit:
à aucun moment Google ou n'importe quelle autre autorité de certificat n'a accès à la clé symétrique générée ensuite par le navigateur pour transférer les données…
Suis technicien en informatique (mais surement pas spécialiste de la sécurité). Pourtant, les services de renseignements américains ont depuis quelques années décriptés les requêtes HTTPS de recherche de Google. Toutes les sécurités peuvent être contournées. Google montre maintenant qu'il va récupérer d'autres données plus sensibles.

Par utilisateur: Face de book, c'est une dizaine d'€ par an de gagné avec les habitudes de ses "utilisateurs" européens (revente des intérêts), Google, c'est plus de 30 € en revendant les mêmes données (sans compter adsense).
 
WRInaute occasionnel
Je ne comprends pas cette volonté de G**g*e d'imposer le SSL sur tous les sites.

Qu'Est-ce que ça peut leur faire ? Si c'est pour éviter le piratage des sites internet, ce n'est pas leur affaire.

Et si c'est pour garantir la vie privée des gens, alors ils se fichent du monde, eux qui pompent et surpompent tout ce qu'ils veulent, allant jusqu'à garder advitam eternam les courriels et les photos privées, dans des proportions que les agents du KGB n'auraient pas imaginées dans leurs rêves les plus fous.
 
Discussions similaires
Haut