Forum général.général Quelle organisme choisir pour son certificat SSL ?

Posté par  .
Étiquettes :
0
14
sept.
2007
Bonjour

Pour les besoins d'un notre site web à sécurisé, nous avons besoin d'établir un certificat.

Aussi quel bon organisme de certification conseillerez vous ?
Qui soit autre que VeriSign (trop couteux) ou CAcert (intéressant mais pas reconnu dans les root certificates).

Y'en a t il un qui se démarque un peu, pas trop cher, fiable avec un bon service client ?
Je pensais à TBS internet, y'en a t il qui connaissent ? Bon choix ?

Merci
  • # n'importe

    Posté par  . Évalué à -1.

    Du moment qu'il est mit par défaut dans la chaine des certificats root, tu t'en balance un peut.
    Ton prestataire tu le contactera qu'une fois par an, c'est pas un logiciel que tu va leur commander, le service client se résumera généralement à empocher ton argent en échange de ton certificat.
    Et puis dans tous les cas tu pourra changer d'organisme l'année suivante de manière transparente.
    Bref, prend celui que tu veux, au prix que tu veux, y a foule.
    • [^] # Re: n'importe

      Posté par  . Évalué à 2.

      justement, comment être certain que l'organisme de certification est reconnu partout et sérieux ? Qui gère la validité de ces organismes ?
      Et en général, combien est-ce que cela coûte ce genre de chose ?

      Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

      • [^] # Re: n'importe

        Posté par  . Évalué à 4.

        C'est assez cher justement Verisign c'est 2000$ pour un certificat qui dure 2 ans.
        TBS Internet 450 ¤ HT pr 2 ans aussi.

        Le problème c'est que de nombreux organisme te font payer plus cher en fonction du degré de cryptage... C'est assez mafieux comme procédé.

        >Du moment qu'il est mit par défaut dans la chaine des certificats root, tu t'en balance un peut.

        Justement tout les CA ne sont pas les certificat roots....
        Bref c'est moins simple qu'il n'y parait.
        • [^] # Remarques, commentaires et questions...

          Posté par  . Évalué à 6.

          Les certificats TBS sont intéressants au niveau prix dès lors que l'on n'a pas l'intention d'offrir l'accès à des téléphones mobiles (PDA, téléphones, ...) : dans ces appareils, le certificat de l'autorité n'est en général pas inclus (testé avec des smartphones). Quoi qu'il en soit, il est possible d'obtenir gratuitement un certificat valable 30 jours pour vérifier la compatibilité avec les différents navigateurs (avant de passer en production évidemment ;-))
          Sinon, les certificats Thawte (que les commerciaux Verisign m'ont décrit comme étant leur filiale "Low Cost"!) sont aussi bien reconnu que les certificats Verisign (sauf peut être sur certains browsers exotiques ou très vieux) tout en étant 3 fois mois chers (de mémoire).

          Concernant les différents type de certificats proposés, je n'ai jamais bien compris comment fonctionnait le certificat "garanti 128 bits" par rapport au certificat "40 à 128 bits". D'ailleurs existe-t-il encore des browser ne supportant pas l'encryption en 128 bits en standard ?

          Evidemment, le montant garanti (dans quelles conditions ?) peut aussi avoir son importance, mais en dehors des sites marchands quel est l'intérêt ?

          Enfin, les offres multisites peuvent avoir leur intérêt en cas de serveur mutualisé avec plusieurs sites à sécuriser sur la même IP (ou de site répondant à plusieurs noms d'hôtes différerents).

          Bon, j'espère que cela t'aura un peu aidé, même si j'ai posé au moins autant de questions que j'ai apporté de réponse.

          Pour info, dans ma boîte, nous sommes clients TBS mais pour l'achat de certificats Thawte (quelques dizaines de certificats, donc avec des tarifs dégressifs). Depuis peu, nous avons également quelques certificats TBS sans avoir rencontré de soucis (sauf la non reconnaissance sur mon smart phone). Nous n'avons plus de certificats Verisign depuis quelques années pour des raisons de coût (malgré les relances des commerciaux et leurs "gestes" commerciaux).

          A+
          JJD

          PS : réussir à se faire reconnaître par les éditeurs de navigateurs et d'OS, c'est quand même une sacrée mine d'or.
      • [^] # Re: n'importe

        Posté par  . Évalué à 6.

        Pour savoir si l'organisme est reconnu il suffit de vérifier qu'il est dans les dépots des authorités de certification des navigateurs.
        L'état français maintient par exemple une liste des authorités de certification reconnues. Les navigateurs sont censés les reconnaître.
        A partir du moment ou tu as une authorité de certification reconnu par ton navigateur, tu peux considérer qu'ils sont sérieux. Ces organismes doivent généralement avoir l'aval de l'état pour délivrer des certificats dans un pays.
        Par exemple, je connais thawte, qui a fait la fortune de mark shuttleworth, le fondateur d'ubuntu. Les certificats de thawte sont reconnus sur tous les navigateurs actuels, puisqu'il s'agit du deuxième la deuxième plus grosse authorité de certification du monde après verisign (d'ailleurs les deux organismes sont affiliés).
        Il y en a d'autres, même des gratuits géré par des communautés, mais pas supporté par tous les navigateur... par exemple : http://www.cacert.org/
        • [^] # Re: n'importe

          Posté par  . Évalué à 3.

          merci de vos informations, je n'y connais rien là dedans (il faut dire que je n'en ai pas l'utilité non plus).
          J'ai regardé pour cacert, ce n'est disponible ni dans konqueror, ni dans firefox. Pour quelle raison, pourtant c'est dans la "même famille du libre" non ? Je comprends maintenant pourquoi le https de linuxfr m'indique toujours une erreur, vu que c'est signé avec cacert. Gna fait également une erreur à chaque fois, c'est signé par eux-même et ils ne semblent pas disposés à utiliser cacert par exemple (ce qui ferait de toute façon une erreur, sauf si on a correctement importé le certificat de cacert) :

          https://gna.org/forum/forum.php?forum_id=1606

          D'ailleurs à propos d'importation de certificat, j'ai essayé d'importer celui de cacert en tant qu' "autorité de confiance" dans firefox (enfin, iceweasel), mais cela ne m'empêche pas d'avoir toujours la même erreur lors de la connexion à linuxfr en https
          http://www.cacert.org/certs/root.crt

          Cela indique "impossible de vérifier l'identité de linuxfr comme un site de confiance".

          (note : en fait j'ai trouvé il faut importer le certificat classe 3 et non pas seulement le classe 1)

          Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

      • [^] # Re: n'importe

        Posté par  . Évalué à 1.

        Et pourquoi pas rapidssl le moins cher est a 18Euros /ans sur trustico.com
        et on le trouve au alentour 62Euros avec plus de services tel que assurances
        renvois de certificats, intalations ...
  • # Startcom

    Posté par  . Évalué à 1.

    Il y a aussi StartCom en pas trop cher. Personnellement et contrairement aux posts précédents je trouve que c'est une trop mauvaise idée que d'acheter un certificat SSL aussi chez pour le peu de service sous-jacent. Encore un piège à fric informatique. StartCom est dans les autorités de certificat de Firefox par défaut.
    • [^] # Re: Startcom

      Posté par  . Évalué à 1.

      Effectivement c'est abusément cher,
      mais Firefox n'a pas eu les couilles d'inclure CAcert comme CA, ça aurait pu faire bouger leschoses, mais non, rien n'a été fait :

      https://bugzilla.mozilla.org/show_bug.cgi?id=215243#c158

      Ca aurait mis un bon coup de pied dans la fourmilière mais il n'en fut rien.
      • [^] # Re: Startcom

        Posté par  (site Web personnel) . Évalué à 1.

        En meme temps, je suis un peu du meme avis de Mozilla (meme si j'utilise personnellement cacert).
        On ne peux pas dire que c'est une autorite sur etant donne qu'ils utilisent un peu le principe de la clef pgp
        en faisant signer et rencontrer des gens pour elever le grade de confiance des certificats.

        Cela dit je trouve tout a fait scandaleux tout le buisness qui est fait sur les certificats
        au meme titre (mais a moindre mesure) que les registrars de nom de domaines.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n’en sommes pas responsables.