[OSM-talk-fr] [HS] Certificats & Co (was: Ajout sur planet.openstreetmap.fr ?)

Mar 30 Juin 13:46:23 UTC 2009

>
>
> Ce ne sera pas le côté client qui posera pb...
>

On est d'accord.

>
> Après si vous voulez bien faire les choses, je ne vois pas l'intérêt de
> porter le SSL sur l'ensemble du parc... La plupart du temps, augmenter la
> capa des machines ne répond pas au problème. Et il y a aussi du hardware
> pour chiffrer si besoin...
>

Oui, les offloads SSL comme je disais plus tot, dédiés ou pas.

>
> Un contre exemple ?  ma boite (banque), 800 serveurs,  8 frontaux SSL qui
> fonctionnent par paire. ( et nous, on redirige tout vers https au
> contraire).
>

On est d'accord. Mais ça implique d'avoir du matériel nécessaire, dans les
cas présents, tu as besoin de 8 serveurs dédiés au SSL, ce qui est faisable
pour une grosse structure. Pour une plus petite structure, c'est plus
difficile.
Ici, tu as le SSL qui est mis en offload sur des serveurs spécialisés. Si tu
mets SSL sur le même serveur, tu sers bien moins de pages web au final. La
encore, c'est un problème de coût.
(Par curiosite rien a voir avec l'argument en cours, mais est ce que les 800
serveurs sont exposes sur le web a repondre a du traffic regulier?)

>
> 1 - n'est-ce pas un coût nécessaire ?
>

Peut être, dans le cas d'une banque, c'est nécessaire et c'est "the cost of
doing business". Pour des sites qui n'ont pas la prétention ou le besoin de
sécurité avec un volume raisonnable, peux t'on leur imposer ce coût
supplémentaire? Je ne suis pas convaincue même si dans l'absolu on
préférerait que tout soit chiffre. Mais si on parle d'absolu, on aurait pas
besoin de chiffrer tout court ;)

>
> 2 - le coût n'est pas induit par un manque de savoir faire ?
>

Je ne suis pas complètement convaincue du tout par l'argument, même s'il est
vrai en substance. Ton exemple montre bien l'utilisation de serveurs
spécialisés (probablement des white box) pour faire l'offload et donc en
théorie pas trop complique a mettre en place. Mais, ton exemple montre aussi
le coût supplémentaire d'avoir un serveur supplémentaire (même si ça scale
très bien dans ton exemple).

> regarde ma signature, même si je ne chiffre pas par défaut sur une liste,
> je donne l'opportunité à ceux qui le souhaite de le faire...
>

Je pensais a encrypter, pas a signer les messages.

Emilie Laffray
-------------- section suivante --------------
Une pièce jointe HTML a été nettoyée...
URL: <http://lists.openstreetmap.org/pipermail/talk-fr/attachments/20090630/aaeff669/attachment.htm>