On reçoit parfois quelques questions sur le SSL (ou plutôt l'absence de SSL) sur le forum, comme celle-ci :
La mise en place d'un certificat sur le forum n'est pas prévue dans l'immédiat et c'est un choix volontaire. En pratique, il ne suffit pas de lancer simplement certbot pour obtenir quelque chose de satisfaisant (comme on le fait d'ailleurs sur la quasi totalité des autres domaines/services de CPC).
Pourquoi ? Parce que depuis 10 ans, nous avons choisi de ne pas héberger les images externes en local mais de laisser les utilisateur intégrer des liens externes. Très peu d'entre eux sont en HTTPS. En pratique, la plupart des pages affichées auraient donc un SSL pété, vu que l'intégralité de la page ne serait pas en HTTPS. C'est généralement symbolisé par un cadenas barré dans la barre d'adresse. Certains navigateurs ne font pas trop chier, d'autres considèrent la page comme si elle n'était pas en SSL, d'autres encore affichent un message anxiogène d'avertissement qui aurait un effet contre-productif sur la plupart des utilisateurs néophytes. Aujourd'hui, mieux vaut parfois ne pas mettre de SSL que mettre du SSL pété.
Une solution propre pourrait être d'éditer les centaines de milliers de liens déjà publiés, et de ne plus autoriser que les liens https par la suite. Mais ça, ça prend nettement plus de 10 minutes.
Certains se diront peut-être "
Oui mais mais mais en 2017, pas de ssl, houlala, mon mot de passe risque d'être compromis !!!". Bullshit. Il faut bien comprendre que tout l'engouement depuis environ un an sur le passage au tout SSL n'est pas du tout dicté par de nobles aspects de sécurité. Le SSL existe depuis le siècle dernier et jusqu'en 2015/2016, la plupart des sites s'en foutaient pas mal. Si tout le monde veut son certificat aujourd'hui, c'est surtout à cause d'un changement au niveau du SEO (optimisation publicitaire pour les moteurs de recherche). Google ayant décidé de favoriser récemment les sites en SSL dans son classement. Pas de SSL = moins de pubs, donc tout le monde veut du SSL. Dans l'absolu, c'est un changement vertueux mais peu significatif en matière de sécurité.
L'écrasante majorité des leaks massifs de données (mot de passe et autres) proviennent de hack des serveurs en eux même et certainement pas d'une interception dans la liaison client <-> serveur. En bref, la plupart des sites installent aujourd'hui des certificat SSL pour conserver leur classement Google tout en expliquant à leurs utilisateurs que "c'est pour la sécurité de leurs données". Tout cela en ne faisant aucun effort sur ce qui compte vraiment, c'est à dire la sécurité des serveurs, des bases de données, etc. Bref.
Votre mot de passe est-il compromis par l'absence d'un certificat SSL sur le forum de Canardpc ? En pratique non. SSL chiffre la connexion entre votre navigateur et le serveur du forum. Sans SSL, un mot de passe transmis en clair pourrait donc être intercepté par une attaque MITM (un espion qui intercepterait la communication entre les deux). Oui mais voilà : lorsque vous tapez votre mot de passe sur le forum, celui-ci est hashé en local via un javascript avant d'être transmis au serveur. SSL ou pas, votre mot de passe ne transite jamais en clair. Il demeure toutefois exact qu'un espion qui parviendrait à mettre en place une attaque MITM sur votre connexion pourrait récupérer le hash et ainsi gagner l’accès à votre compte sur le forum sans connaitre le mot de passe. Mais si quelqu'un est vraiment prêt à aller jusque là pour vous hacker, ce n'est pas un certificat SSL Let's Encrypt qui l'arrêtera. Sans compter qu'à sa première connexion, il se fera probablement spotter par d'autres mécanismes du forum qu'on utilise pour détecter les multis par exemple.
En conclusion, on réfléchit tout de même à la façon dont on pourrait implémenter SSL à l'avenir sur le forum (soit via une nouvelle gestion des liens images externes avec correction des existants, soit uniquement sur certaines pages type login) mais pour les raisons évoquées ci-dessus, ça ne nous parait pas une priorité pour l'instant sur le forum. Nos ressources sont limitées et on se concentre pour le moment sur le site (SSL Only, lui).
En espérant avoir pu répondre aux principales questions.