Forum général.général Certificats SSL en centré utilisateur ?

Posté par  .
Étiquettes : aucune
-1
21
juin
2010
Bonjour,

J'ai pensé,vu les differents problémes au certificats SSL actuel (prix du certificat,faire confiance à un tiers,..),que ce serait possible que l'utilisateur choissise lui même l'organisme qui delivre les certificats ou que lui-même delivre un certificat pour que la confiance reléve de l'utilisateur à un tiers (un seul ou plusieurs) ou à lui-même.

Je ne connais pas le systéme de certificats SSL mais aimant les differentes progression vers de l'utilisateur centré en ce moment (OpenID,P2P,..) , je me demandait si c'est possible pour les certificats SSL.

Merci d'avance

PS:Ou sinon on laisse les sites s'auto-signés comme LinuxFr et comme on a confiance en LinuxFr,pas de probléme sauf les alertes du navigateur.
  • # autorité de confiance

    Posté par  . Évalué à 3.

    du moment que tu peux autorisé un autre tiers de confiance dans tes outils (navigateur, email, ...) rien ne t'empeche d'etre toi meme ta propre autorité

    mais ...
    il faut que tes utilisateurs ajoutent ton serveur autorité pour que les certificats que tu signes soient considérés comme valides.

    C'est exactement le cas avec le certificat LinuxFr, qui est signé par CaCert (il me semble).

    Ca ne coute rien (merci CaCert), mais il faut ajouté le certificat de CaCert dans la liste des serveurs autorités de ton navigateur, pour ne plus avoir l'alerte quand tu viens sur linuxfr en https.
    • [^] # Re: autorité de confiance

      Posté par  . Évalué à 2.

      Oui, le certificat de LinuxFr est signé par CACert. Tu peux le vérifier en cliquant sur le cadenas affiché par ton navigateur préféré lorsque tu est sur https://www.linuxfr.org/. Par contre, CACert n'est pas reconnu par toutes les versions de navigateurs. Les signatures de Cacert reposent sur une communauté et répondent donc en partie à la question.
      Sinon, il existe des certificats SSL personnels qui te permettent de signer un mail ou de t'authentifier (mieux qu'un mot de passe!) sur un site. C'est notamment le cas du certificat des impôts. Il existe plusieurs autorités qui délivrent ces certificats gratuitement.
      Tu peux aussi créer ta propre autorité comme le disait NeoX, mais c'est pas forcément très pratique pour tes amis.
      Enfin, tu as des certificat pour les mêmes usages persos qui sont signés par ta communauté d'amis: c'est GPG.
    • [^] # Re: autorité de confiance

      Posté par  . Évalué à 2.

      Oui mais si j'ai confiance en CaCert,j'ai confiance en tout les certificats provenant d'eux,alors qu'il peut y avoir des sites qui profitent de ca et fassent passer un mauvais certificat pour un bon

      (ou alors j'ai rien compris à SSL,ce qui est trés probable)
      • [^] # Re: autorité de confiance

        Posté par  . Évalué à 3.

        non c'est bien le principe du tiers de confiance

        toi tu fais confiance en CaCert pour de valider TES certificats,
        lui de son coté est aussi tiers de confiance pour le site X ou Y...

        quand tu iras sur le site X ou Y, tu n'auras pas d'alerte de defaut de certificat car tu auras le meme tiers de confiance.

        Seulement, on ne s'improvise pas tiers de confiance.
        Celui ci, se doit de verifier les infos des certificats qu'il genere/signe.
        C'est pour cela que tu paie pour verisign ou d'autres entités, car il te demandes pas mal d'infos pour verifier que c'est bien toi qui est le proprio du domaine pour lequel tu veux un certificat.

        Et il considere que ce que tu paies vaut pour les "frais de gestion" de ton dossier.

        CaCert est gratuit, ou peu cher, ce qui n'empeche pas qu'il y a aussi des verifications
  • # Auto-signés = danger !

    Posté par  (site Web personnel) . Évalué à 2.

    PS:Ou sinon on laisse les sites s'auto-signés comme LinuxFr et comme on a confiance en LinuxFr,pas de probléme sauf les alertes du navigateur.

    Tout faux. Exemple : un jour, tu as une alerte sur [https://www.societegenerale.com/] et tu as une alerte de sécurité. Comme tu as confiance en la Société Générale pas de problème ?

    Non, les certificats auto-signés ou signés par des autorités inconnues, c'est mieux que rien du tout, mais ce n'est acceptable que si tu ne crains pas une interception. Par exemple si tu ne tiens pas vraiment au chiffrement sûr, parce que tu envoies des données de faible confidentialité.
    • [^] # Re: Auto-signés = danger !

      Posté par  . Évalué à 2.

      Dans ce cas là, tu as encore une solution avec le certificat auto-signé, c'est de contacter, via un canal de confiance, la personne qui a émis le certificat et vérifier avec lui l'empreinte / somme de contrôle du certificat. Mais, bon, aucune chance que ton banquier sache ce que c'est qu'une empreinte...
  • # Confusion entre authentification et chiffrement

    Posté par  . Évalué à 1.

    Il ne faut pas confondre deux (il y en a bien d'autres) aspects de la certification X.509 : l'authentification et le chiffrement.

    L'authentification te garantie l'identité de l'émetteur du certificat, soit grâce à une chaîne de certification, soit, dans le cas d'un certificat auto-signé par un accès précédent au certificat (physiquement, en général).

    Le chiffrement permet, comme son nom l'indique, de chiffrer les données échangés entre le client et le serveur.

    L'authentification peut aussi bien s'effectuer du côté du serveur, que du côté du client, que des deux côtés. Le plus souvent sur le Web, elle s'effectue du côté du serveur.

    Par exemple, lorsque tu vas sur le site Web www.hsbc.fr en HTTPS, VeriSign, autorité de certification à laquelle tu fais généralement confiance (par l'intermédiaire de ton navigateur) te permet de valider l'authenticité du domaine, c'est à dire que www.hsbc.fr appartient bien à la société HSBC.

    Si tu ne faisais pas confiance à VeriSign et que tu n'aurais jamais vu le certificat de www.hsbc.fr auparavant, tu ne pourrais pas authentifier ce site Web. Cependant, cela ne t'empêcherait pas de chiffrer la communication entre ton ordinateur et ce site Web.

    Même si tu ne peux pas authentifier www.hsbc.fr, le chiffrement t'assure tout de même que seul toi et www.hsbc.fr (qui peut être absolument n'importe qui, comme par exemple quelqu'un usurpant le domaine), a eu accès aux données.
    • [^] # Re: Confusion entre authentification et chiffrement

      Posté par  (site Web personnel) . Évalué à 3.

      Par exemple, lorsque tu vas sur le site Web www.hsbc.fr en HTTPS, VeriSign, autorité de certification à laquelle tu fais généralement confiance (par l'intermédiaire de ton navigateur) te permet de valider l'authenticité du domaine, c'est à dire que www.hsbc.fr appartient bien à la société HSBC.

      Non. Ça, c'est l'Extended Validation, un cas particulier. Le cas général de SSL, c'est de permettre d'authentifier la connexion, c'est à dire que ne peut lire les données émises que le propriétaire du nom de domaine www.hsbc.fr, quel qu'il soit. Ou que, si quelqu'un d'autre les lit, c'est soi ta faute (tu as un beau cheval de Troie sur ton ordinateur) soit la sienne (on lui a volé sa clef privée).

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n’en sommes pas responsables.