[OSM-talk-fr] [HS] Certificats & Co (was: Ajout sur planet.openstreetmap.fr ?)
Steven Le Roux
steven at le-roux.info
Mar 30 Juin 18:31:53 UTC 2009
2009/6/30 Emilie Laffray <emilie.laffray at gmail.com>
>
>> Ce ne sera pas le côté client qui posera pb...
>>
>
> On est d'accord.
>
>
>>
>> Après si vous voulez bien faire les choses, je ne vois pas l'intérêt de
>> porter le SSL sur l'ensemble du parc... La plupart du temps, augmenter la
>> capa des machines ne répond pas au problème. Et il y a aussi du hardware
>> pour chiffrer si besoin...
>>
>
> Oui, les offloads SSL comme je disais plus tot, dédiés ou pas.
>
>
>>
>> Un contre exemple ? ma boite (banque), 800 serveurs, 8 frontaux SSL qui
>> fonctionnent par paire. ( et nous, on redirige tout vers https au
>> contraire).
>>
>
> On est d'accord. Mais ça implique d'avoir du matériel nécessaire, dans les
> cas présents, tu as besoin de 8 serveurs dédiés au SSL,
>
Il ne sont pas dédié. http ou https ce sont les même... c'est une couche de
reverse-proxies classique.
>
>
>
>>
>> 1 - n'est-ce pas un coût nécessaire ?
>>
>
> Peut être, dans le cas d'une banque, c'est nécessaire et c'est "the cost of
> doing business". Pour des sites qui n'ont pas la prétention ou le besoin de
> sécurité avec un volume raisonnable, peux t'on leur imposer ce coût
> supplémentaire? Je ne suis pas convaincue même si dans l'absolu on
> préférerait que tout soit chiffre. Mais si on parle d'absolu, on aurait pas
> besoin de chiffrer tout court ;)
>
>
>>
>> 2 - le coût n'est pas induit par un manque de savoir faire ?
>>
>
> Je ne suis pas complètement convaincue du tout par l'argument, même s'il
> est vrai en substance. Ton exemple montre bien l'utilisation de serveurs
> spécialisés (probablement des white box) pour faire l'offload et donc en
> théorie pas trop complique a mettre en place. Mais, ton exemple montre aussi
> le coût supplémentaire d'avoir un serveur supplémentaire (même si ça scale
> très bien dans ton exemple).
>
C'est un cas de reverse-proxy assez courrant. Même si celui-ci peut être sur
la même machine que le serveur d'application... C'est une question de
sécurité après... autre sujet...
>
>
>
>> regarde ma signature, même si je ne chiffre pas par défaut sur une liste,
>> je donne l'opportunité à ceux qui le souhaite de le faire...
>>
>
> Je pensais a encrypter, pas a signer les messages.
>
ça vaut pareil... si tu as besoin de chiffrer un mail, tu as ma clé
publique...
>
>
> Emilie Laffray
>
> _______________________________________________
> Talk-fr mailing list
> Talk-fr at openstreetmap.org
> http://lists.openstreetmap.org/listinfo/talk-fr
>
>
--
Steven Le Roux
Jabber-ID : Steven at jabber.fr
0x39494CCB <steven at le-roux.info>
2FF7 226B 552E 4709 03F0 6281 72D7 A010 3949 4CCB
-------------- section suivante --------------
Une pièce jointe HTML a été nettoyée...
URL: <http://lists.openstreetmap.org/pipermail/talk-fr/attachments/20090630/cc5f3631/attachment.htm>
Plus d'informations sur la liste de diffusion Talk-fr