[OSM-talk-fr] [HS] Certificats & Co (was: Ajout sur planet.openstreetmap.fr ?)

[Emilie Laffray]

2009/6/30 David MENTRE <dmentre at linux-france.org>

>
> Je fais le pari que c'est de la légende urbaine. :-) Vu les CPU qu'on
> a de nos jours, la crypto n'est pas vraiment un problème. Tu as fait
> des tests sur une machine récente ?
>

J'ai travaille sur pour une société qui avait une server farm de 70
machines. Ajouter SSL dessus faisait chuter les performances d'environ 30%
du fait du système que l'on utilisait (pages tres volumineuses). Je précise
que chaque "machine" était une blade quad proc.
Sur un site avec un tant soit peu de trafic, utiliser HTTPS en permanence
n'est pas jouable. Google est passe en https pour gmail mais ça a un coût
qu'ils peuvent se permettre.
La puissance du processeur ne fait pas tout des que tu as un site qui a du
volume.
A noter que je parle puissance serveur, pas puissance client ou bien
entendu, on a des machines pour gérer la cryptographie sans problème. Mais
le web fonctionne avec des clients et des serveurs.


>
> Je ne dis pas que de gros sites comme Wikipédia n'ont pas besoin
> d'offload, mais ça reste marginal à mon avis.


Oui, pour un site amateur. Des que tu veux quelque chose de professionnel et
qui a une charge élevée, rajouter https, c'est un peu augmenter les coûts.
Les sites utiliseraient https en permanence si c'était si gratuit.
J'ai eus une formation avec Ivan Ristic (créateur de mod_security) il y a
maintenant 3 ans et c'est le même refrain partout. Les sociétés ne passent
pas en https du fait du coût supplémentaire. La encore je parle pas de
petits sites.


> Oui, aucun système n'est parfait. Mais si on ne l'utilise pas, il ne
> risque pas de s'améliorer.
>

Je te rassure, il y a pas mal d'équipes de cryptographie qui travaillent sur
ce genre de chose en ce moment. Mais améliorer un algorithme ou en créer un
nouveau ne se fait pas comme ça. Il suffit de voir le temps pris pour
établir AES en tant que standard par le NIS, tout comme le potentiel nouveau
standard SHA-3.


> C'est déjà beaucoup.
>

Dans ce cas la, tu ne fais plus rien :)


>
> Oui, mais cette demande devra être officielle et tu le sauras. Ou pas
> (cf. supra ;-).
>

Oui, comme tu dis, ou pas.


>
> J'utilise GPG pour les emails, avec quelques rares correspondants qui
> savent ou veulent s'en servir.
>

Je ne me vois pas utiliser la crypto sur une Mailing list :) A noter que mes
mails signes sont ceux quand je suis chez moi :)


>
> > D'ailleurs il va falloir que je trouve un
> > script pour rajouter le support GPG sur gmail.
>
> FireGPG : http://fr.getfiregpg.org/s/home
>

Merci, ça c'est pratique.

Emilie Laffray
-------------- section suivante --------------
Une pièce jointe HTML a été nettoyée...
URL: <http://lists.openstreetmap.org/pipermail/talk-fr/attachments/20090630/29487fb3/attachment.htm>