- 2048 bits devrait être ok jusqu'à environ 2030, et d'ici là tout le monde devrait utiliser quelque chose de mieux comme ECDSA ou EdDSA, donc il n'y a aucune bonne raison d'utiliser des clés RSA plus grandes.

Quand une personne scan des IP, elle tente ensuite de trouver des failles de sécurité pour s'introduire.
Une solution que j'utilise est de mettre une page vide si la requête ne se fait pas avec le nom de domaine.
Toutefois il existe une astuce pour trouver le nom de domaine : le récupérer dans le certificat SSL.

Depuis hier, je ne présente plus le certificat sans le bon nom de domaine.

Il a cet outil qui permet de voir les nom de domaines des serveurs voisins : http://www.tcpiputils.com/browse/ip-address/46.227.16.8 Je ne sais pas comment il fait, mais ce n'est pas le reverse DNS car il est capable de trouver plusieurs sites sur une même IP.

Our DNS crawlers try to resolve every domain name once per month

En tout cas, c'est une très bonne décision de quitter StartCom, qui est une autorité connue pour avoir sciemment triché depuis son intégration avec WoSign, en anti-datant des certificats signés en SHA-1. Il y a un petit résumé ici : https://blog.mozilla.org/security/2016/10/24/distrusting-new-wosign-and-startcom-certificates/ , et pour ceux qui ont un peu de temps à perdre, je vous recommande la lecture de l'historique qui a mené à cette conclusion : https://docs.google.com/document/d/1C6BlmbeQfn4a9zydVi2UvjBGv6szuSB4sMYUcVrR8vQ/preview

Je suis curieux : Comment avoir la liste des nom de domaines enregistrés ?