397 liens privés
L'auteur parle de techniques, dont j'avais déja parlé ici (https://jeekajoo.eu/links/?zEE0mA), pour renouveler[1] un certif startssl sans frais avant expiration.
Pour ma part, j'utilise actuellement un cert valable pour xxx.fralef.me (ne cherchez pas, y'a rien à cette adresse les coquinous) et fralef.me.
Au lieu d'en fabriquer un autre sur le même modèle (sous domaine bidon), je vais pouvoir récupérer mon premier certif valable pour www.fralef.me (et fralef.me) que j'avais créé avant la faille heartbleed, et qui expire à la fin de ce mois.
Je pourrais donc avoir un certif tout beau tout neuf en SHA-2 et avec un sous-domaine plus conventionnel, et gratuitement toujours.
[1] je dis ça pour simplifier mais il ne s'agit pas de renouvelement. il s'agit de créer un nouveau certif également valable pour le domaine cible, en laissant l'ancien expirer.
Pour renouveler un certif class1 startssl à l'identique il faut passer par la case révocation et c'est 25$.. (https://jeekajoo.eu/links/?KQxECQ)
La technique que j'ai trouvé consiste à créer un autre certif sur un cname différent. Dans mon cas j'avais un certif dont le cname était www.fralef.me avec altname (obligatoire) fralef.me. Là je viens d'en créer un nouveau avec fralef.me en cname et xxx.fralef.me en altname car je n'avais le droit de reprendre www.fralef.me et que je me tape de ce sous-domaine...
Reste un probleme non résolu: la révocation de l'ancien certif... cela dit les navigateurs ne vérifient pas les listes de révocation par défaut. donc même en le révoquant je ne suis même pas sur qu'il ne pourra pas être réutilisé par un tier jusqu'à son expiration (https://jeekajoo.eu/links/?QPGHqQ).
Enfin il y a le perfect forward secrecy que j'ai mis en place depuis un moment, et qui est censé me garantir que même si on a collecté des données chiffrées avec ma clé qui a potentiellement été leakée avant que je patch: on ne pourra pas les déchiffrer. Bon je ne dis pas que je me sens pour autant à l'abris des NSA et consorts. Ça serait extrèmement prétentieux et hautement improbable, car l'histoire a montré qu'ils avaient toujours un coup d'avance.