Bonjour,
J'ai pensé,vu les differents problémes au certificats SSL actuel (prix du certificat,faire confiance à un tiers,..),que ce serait possible que l'utilisateur choissise lui même l'organisme qui delivre les certificats ou que lui-même delivre un certificat pour que la confiance reléve de l'utilisateur à un tiers (un seul ou plusieurs) ou à lui-même.
Je ne connais pas le systéme de certificats SSL mais aimant les differentes progression vers de l'utilisateur centré en ce moment (OpenID,P2P,..) , je me demandait si c'est possible pour les certificats SSL.
Merci d'avance
PS:Ou sinon on laisse les sites s'auto-signés comme LinuxFr et comme on a confiance en LinuxFr,pas de probléme sauf les alertes du navigateur.
Forum général.général Certificats SSL en centré utilisateur ?
21
juin
2010
# autorité de confiance
Posté par NeoX . Évalué à 3.
mais ...
il faut que tes utilisateurs ajoutent ton serveur autorité pour que les certificats que tu signes soient considérés comme valides.
C'est exactement le cas avec le certificat LinuxFr, qui est signé par CaCert (il me semble).
Ca ne coute rien (merci CaCert), mais il faut ajouté le certificat de CaCert dans la liste des serveurs autorités de ton navigateur, pour ne plus avoir l'alerte quand tu viens sur linuxfr en https.
[^] # Re: autorité de confiance
Posté par pma . Évalué à 2.
Sinon, il existe des certificats SSL personnels qui te permettent de signer un mail ou de t'authentifier (mieux qu'un mot de passe!) sur un site. C'est notamment le cas du certificat des impôts. Il existe plusieurs autorités qui délivrent ces certificats gratuitement.
Tu peux aussi créer ta propre autorité comme le disait NeoX, mais c'est pas forcément très pratique pour tes amis.
Enfin, tu as des certificat pour les mêmes usages persos qui sont signés par ta communauté d'amis: c'est GPG.
[^] # Re: autorité de confiance
Posté par Kopec . Évalué à 2.
(ou alors j'ai rien compris à SSL,ce qui est trés probable)
[^] # Re: autorité de confiance
Posté par NeoX . Évalué à 3.
toi tu fais confiance en CaCert pour de valider TES certificats,
lui de son coté est aussi tiers de confiance pour le site X ou Y...
quand tu iras sur le site X ou Y, tu n'auras pas d'alerte de defaut de certificat car tu auras le meme tiers de confiance.
Seulement, on ne s'improvise pas tiers de confiance.
Celui ci, se doit de verifier les infos des certificats qu'il genere/signe.
C'est pour cela que tu paie pour verisign ou d'autres entités, car il te demandes pas mal d'infos pour verifier que c'est bien toi qui est le proprio du domaine pour lequel tu veux un certificat.
Et il considere que ce que tu paies vaut pour les "frais de gestion" de ton dossier.
CaCert est gratuit, ou peu cher, ce qui n'empeche pas qu'il y a aussi des verifications
# Auto-signés = danger !
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 2.
Tout faux. Exemple : un jour, tu as une alerte sur [https://www.societegenerale.com/] et tu as une alerte de sécurité. Comme tu as confiance en la Société Générale pas de problème ?
Non, les certificats auto-signés ou signés par des autorités inconnues, c'est mieux que rien du tout, mais ce n'est acceptable que si tu ne crains pas une interception. Par exemple si tu ne tiens pas vraiment au chiffrement sûr, parce que tu envoies des données de faible confidentialité.
[^] # Re: Auto-signés = danger !
Posté par pma . Évalué à 2.
# Confusion entre authentification et chiffrement
Posté par Physche . Évalué à 1.
L'authentification te garantie l'identité de l'émetteur du certificat, soit grâce à une chaîne de certification, soit, dans le cas d'un certificat auto-signé par un accès précédent au certificat (physiquement, en général).
Le chiffrement permet, comme son nom l'indique, de chiffrer les données échangés entre le client et le serveur.
L'authentification peut aussi bien s'effectuer du côté du serveur, que du côté du client, que des deux côtés. Le plus souvent sur le Web, elle s'effectue du côté du serveur.
Par exemple, lorsque tu vas sur le site Web www.hsbc.fr en HTTPS, VeriSign, autorité de certification à laquelle tu fais généralement confiance (par l'intermédiaire de ton navigateur) te permet de valider l'authenticité du domaine, c'est à dire que www.hsbc.fr appartient bien à la société HSBC.
Si tu ne faisais pas confiance à VeriSign et que tu n'aurais jamais vu le certificat de www.hsbc.fr auparavant, tu ne pourrais pas authentifier ce site Web. Cependant, cela ne t'empêcherait pas de chiffrer la communication entre ton ordinateur et ce site Web.
Même si tu ne peux pas authentifier www.hsbc.fr, le chiffrement t'assure tout de même que seul toi et www.hsbc.fr (qui peut être absolument n'importe qui, comme par exemple quelqu'un usurpant le domaine), a eu accès aux données.
[^] # Re: Confusion entre authentification et chiffrement
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 3.
Non. Ça, c'est l'Extended Validation, un cas particulier. Le cas général de SSL, c'est de permettre d'authentifier la connexion, c'est à dire que ne peut lire les données émises que le propriétaire du nom de domaine www.hsbc.fr, quel qu'il soit. Ou que, si quelqu'un d'autre les lit, c'est soi ta faute (tu as un beau cheval de Troie sur ton ordinateur) soit la sienne (on lui a volé sa clef privée).
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.