L’EFF lance STARTTLS Everywhere, pour sécuriser l’envoi d’e-mails
Le 26 juin 2018 à 09h38
1 min
Internet
Internet
L'Electronic Frontier Foundation (EFF) veut amener STARTTLS à tous les serveurs e-mail, pour garantir le chiffrement des communications. Selon l'organisation, 20 % du million de sites les plus visités avec un serveur mail en 2015 n'utilisaient pas le protocole, et 40 % ne disposaient pas d'un certificat valide.
Sur son site officiel, l'initiative permet de tester n'importe quel nom de domaine. Il vérifie la présence de STARTTLS, l'utilisation d'une version sûre de TLS et la présence d'un certificat valide. Si l'ensemble des critères est atteint, il est possible d'enregistrer le nom de domaine dans une Policy List maintenue par l'EFF, pour éviter une attaque par « downgrade ». Elle est accessible via un fichier JSON.
L'organisation est déjà à l'origine de HTTPS Everywhere, une extension pour navigateur qui force l'utilisation de HTTPS quand disponible.
Le 26 juin 2018 à 09h38
Commentaires (3)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 26/06/2018 à 09h48
Bon… mon site est OK mais orange.
.net is doing great, and can be better. Your email domain is at risk of downgrade attacks.
To mitigate downgrade attacks, add your domain to the STARTTLS Policy List, so servers have another point of reference to discover that you support STARTTLS.
Donc bon… mais c’est un bon test quand même car pédagogique
Le 26/06/2018 à 09h50
Bravo Nextinpact :https://starttls-everywhere.org/results/?nextinpact.com
" />
Le 26/06/2018 à 11h59
HTTPS Everywhere se base sur des listes pour rediriger sur https, jamais l’extension ne va tester si https est disponible. De toute manière ça devient obsolète, beaucoup de sites redirigent vers https directement, et utilisent HSTS (voire même HSTS preload).