Hardware Je viens à l'instant de prendre connaissance de ton post, du coup entre temps, pour la petite histoire 😏 je m'étais lancé dans une compil nginx avec https://github.com/grahamedgecombe/nginx-ct.git et https://github.com/grahamedgecombe/ct-submit
--add-dynamic-module=../nginx-ct/
car la version que j'avais n’intégrait pas les modules nécessaires pour la config :
load_module modules/ngx_ssl_ct_module.so;
load_module modules/ngx_http_ssl_ct_module.so;
avec dans le vhost
ssl_ct on;
ssl_ct_static_scts /etc/ssl/sct;
Au final cela me permettait d'avoir cette spécification dans ssl lab
au lieu de
Donc en lisant ton post j'ai un peu fouillé sur le net et semble t-il, pour confirmer ce que tu me dis, lets'encrypt intègre désormais le SCT depuis le 30/04/2018 ce qui reviens à dire qu'il n'est plus besoin de l'extension TLS. Est ce que je comprends bien ?
Mais quoiqu'il en soit même avec le header, lorsque j'interroge htbridge.com, Expect_CT ne s'active pas avec ou sans l'extension TLS
Edit : Je comprends mieux lorsque tu parlais de verifications par nimbus et icarus
Normalement en forcant les SCT avec la méthode décrite ci dessus j aurais du avoir
J'ai utilisé les mêmes providers que le screen. Hors dans la console chrome j'ai moi aussi nimbus et icarus, ce qui semble dire que letsencrypt ne prend pas les SCT que j'ai crée avec submit et impose les siens ?
Par ailleurs je voie que mondedie n'a pas de header Expect_CT, du coup est ce que cela signifie qu'il y en a plus besoin ? Pour terminer j'ai créer un certificat ECDSA, est ce mieux en terme de sécurité?
Je me rend compte que je vais dans tous les sens mais je cherche à comprendre, désolé😞
Merci