Journal Autorité de CA SSL ?

Posté par  .
Étiquettes : aucune
0
21
oct.
2003
Bonsoir journal,

La question est simple. Existe-t-il une autorité de certification reconnue par les navigateurs comme étant sûre délivrant des certificats gratuitement ?

J'ai pas envie de payer pour quelque chose que je peux générer moi-même finalement, c'est juste une question de practicité pour l'utilisateur qui peut se poser des questions avec les avertissements à la con d'IE comme quoi la source "n'est peut-être pas sûre" ou des trucs du genre.

Alors, quid d'une autorité gratuite ? Si non, pourquoi n'en existe-t-il pas ? Je veux dire, bien assez de projets libres, comme Mozilla, pourrait intégrer une CA libre dans les trusted CA non ?

Merci d'avance

  • # Re: Autorité de CA SSL ?

    Posté par  (site web personnel) . Évalué à 4.

    Je veux pas paraitre méchant ou vif ni quoi que ce soit ....

    Mais si tu peux le faire et que tu es sur que tout le monde (je dis bien tout le monde) peux TE faire confiance... alors n'hécites pas, fait le.

    Et tu verra vite que pour garantir ta fiabilité vis à vis du monde, tu aura besoin de passer du temps à sécuriser tes serveurs, à t'acheter des machines et de la bande passante ... bref tu auras besoin de facturer le service de certification.

    C'est une très bonne chose que d'avoir des logiciels libres et gratuits. mais tu ne peux pas systématiquement avoir le beurre l'argent du beurre et la crémière en plus :)

    my 2 cents
    (et si ça se trouve je parle dans le vide et ce service existe gratuitement par ailleurs)

  • # Re: Autorité de CA SSL ?

    Posté par  . Évalué à 2.

    Le principe d'une autorité de certification, ce n'est pas de te faire payer la génération du certificat.

    Si je ne dit pas de bétise, tu es libre de tirer ton certificat (ton biclé) et de le faire signer par une autorité. C'est même mieux car si l'autorité te génère tout de A à Z, elle a ton biclé et c'est pas terrible çà...

    Par contre des AC gratuites je sais pas si çà existe car c'est une responsabilité importante suivant le niveau de confiance des certificats... Verisign (pas taper, pas taper :)) fournit, il me semble, des certificats clients gratuits...

    Le problème des AC c'est l'infrastructure importante qui est nécessaire. En effet, la clé privée racine de l'AC doit être protégée de manière draconienne. Il ne faut pas stocker çà sur un truc connecté à l'Internet. Mais si la notoriété devient importante, il faut se protéger contre des malversations plus importantes (vol physique de la clé, TEMPEST, etc...)
    Donc tu peux trouver, je pense des AC locales gratuites mais pour un truc de plus grande envergure, y a des moyens importants à mettre en oeuvre qui malheureusement, se payent...

  • # Re: Autorité de CA SSL ?

    Posté par  (site web personnel) . Évalué à 1.

    Mozilla, pourrait intégrer une CA libre dans les trusted CA non ?
    Que veux-tu dire par CA libre ? Parce que libre ce n'est pas gratuit. En outre les standards utilisés dans les PKIs tels que x.509 (http://ietf.org/rfc/rfc2459.txt?number=2459(...)), PKCS (http://www.rsasecurity.com/rsalabs/pkcs/index.html(...)) ou autres sont ouverts.
    La production d'un certificat a un coût quasi nul ; en revanche c'est l'infrastructure qui coûte cher : autant au niveau matériel (locaux sécurisés, modules de sécurité physique (HSM)...) qu'humain (vérification des identités des clients...).

  • # Re: Autorité de CA SSL ?

    Posté par  . Évalué à 1.

    Techniquement, ça pose de très gros problèmes.

    Le certificat est utilisé pour deux raisons :
    - Valider l'identité du site sur lequel on se connecte.
    - Assurer le chiffrement de la transmission.

    Généralement, on voit surtout le second point, si le certificat est signé par une autorité connue du navigateur, alors il n'y a pas d'avertissement lorsque la connexion chiffrée est établie.

    Le problème vient du premier point. Le certificat certifie que je suis bien la personne que je prétends être. Si je crée un certificat pour www.amazon.fr avec un faux site derrière qui récupère les numéros de CB, les gens vont avoir une alerte (oui, je sais, ils ne comprennent rien et ils s'en fichent).
    Si ce certificat a été généré par une autorité reconnue des navigateurs des clients, les gens n'auront pas d'alerte.

    Le paiement par CB des certificats permet à la société qui l'a signée (verisign ou autres), de remonter en cas de besoin jusqu'à la personne qui l'a acheté.

    Et oui, c'est bien maigre comme sécurité, on est d'accord.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.