Suivi — Administration système Changer d’autorité de certification

#1302 Posté par Anonyme le 23 mars 2014 à 12:02. État de l’entrée : corrigée. Assigné à Benoît Sibaud. Licence CC By‑SA.

Étiquettes :

mar.

2014

CACert vient de se faire virer de Debian et d’Ubuntu.

Ne serait-il pas temps de changer d’autorité de certification ?

NdAdmin : concerne les serveurs web de prod et de test, le serveur de listes de diffusion et le serveur d'outils collaboratifs

# Références

Posté par Benoît Sibaud (site web personnel) le 23 mars 2014 à 12:58. Évalué à 7 (+0/-0). Dernière modification le 15 avril 2014 à 09:31.
- Debian :
  - a arrêté de mettre le certificat CaCert dans unstable (non seulement il n'est pas actif par défaut, mais il n'est plus livré). Cf https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=718434
  - ça râle sur ce retrait. cf https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=741561
  - pour une réimportation manuelle, voir https://gist.github.com/aeris/9675507
  - autre point : attention avec les nouveaux certificats CaCert http://blog.cacert.org/2014/01/cacert-with-new-signature-algorithm/ à cause de http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=740160 en stable
  - annonce dans les Debian Weekly News, voir https://www.debian.org/News/weekly/2014/07/index.fr.html#CAcert
  - article Debian and CAcert dans LWN, voir https://lwn.net/Articles/590879/
- Ubuntu :
  - a suivi Debian et publié une Ubuntu Security Notice. Cf http://www.ubuntu.com/usn/usn-2154-1/ et https://bugs.launchpad.net/ubuntu/+source/ca-certificates/+bug/1257265
- Arch se base sur Debian pour son packaging donc même problème. Cf https://mailman.archlinux.org/pipermail/arch-dev-public/2014-March/025977.html
- OpenSuse a un souci sur le certificat class3 embarqué. Cf https://bugzilla.novell.com/show_bug.cgi?id=868884 . Sinon paquet ca-certificates-cacert cf http://software.opensuse.org/package/ca-certificates-cacert
- Redhat/Fedora : cf https://bugzilla.redhat.com/show_bug.cgi?id=474549
Répondre
- [^] # Re: Références
  
  Posté par Benoît Sibaud (site web personnel) le 02 juin 2015 à 08:45. Évalué à 3 (+0/-0).
  - Paquet Debian pour réinstaller les certificats CAcert https://packages.debian.org/search?keywords=ca-cacert&searchon=names&suite=all&section=all
  Répondre
# Oui mais qui ?

Posté par navaati le 06 avril 2014 à 12:47. Évalué à 1 (+0/-0).

Auto-signé (change pas grand chose par rapport à CACert) ? Startcom (gratos) ? Un gros genre Verisign (no way !) ?

Répondre
- [^] # Re: Oui mais qui ?
  
  Posté par Benoît Sibaud (site web personnel) le 06 avril 2014 à 13:15. Évalué à 4 (+0/-0).
  
  Une fois que l'on prend une autre autorité qu'une autorité communautaire, on est avec une autorité commerciale dont il est assez difficile de savoir laquelle est « mieux », sachant qu'il faudrait déjà définir mieux
  
  On peut facilement savoir laquelle est la moins chère, ou laquelle fournit les certificats avec les algos les plus solides
  
  Petite revue : april, aful et lqdn ont opté pour Gandi, rsf pour RapidSSL, TF est autosigné, Framasoft, Lolix et Lea-Linux n'ont pas de HTTPS.
  
  Répondre
  - [^] # Re: Oui mais qui ?
    
    Posté par Benoît Sibaud (site web personnel) le 13 avril 2014 à 18:13. Évalué à 3 (+0/-0).
    
    Rectification sur Framasoft : par exemple https://framabag.org/ (Gandi). A priori aussi un peu de CaCert mais en interne.
    
    Répondre
    - [^] # Re: Oui mais qui ?
      
      Posté par BAud (site web personnel) le 17 septembre 2014 à 00:07. Évalué à 1 (+0/-0).
      
      Petite revue : […] TF est autosigné,
      
      et l'argumentaire concernant l'impact du choix de l'auto-signé : http://faq.tuxfamily.org/SelfSignedSoWhat/Fr (c'est même dispo en anglais, vu qu'il n'y a pas que les français qui sont pointilleux :p).
      
      Répondre
- [^] # Re: Oui mais qui ?
  
  Posté par Yggdras le 14 avril 2014 à 19:46. Évalué à 4 (+0/-0).
  
  Je viens d'apprendre que GlobalSign propose des certificats gratuits wildcard pour les logiciels libres sur https://www.globalsign.com/ssl/ssl-open-source/. Ça pourrait être intéressant pour linuxfr.org.
  
  Répondre
# Bortzmeyer a choisi CACert

Posté par patrick_g (site web personnel) le 10 septembre 2014 à 17:06. Évalué à 4 (+0/-0).

Un point de vue intéressant : http://www.bortzmeyer.org/https-blog.html

Répondre
# Changement fait

Posté par Benoît Sibaud (site web personnel) le 04 juin 2015 à 15:32. Évalué à 3 (+0/-0).

Le changement est effectif.
Cf https://linuxfr.org/news/quoi-de-neuf-cote-linuxfr-org#changement-de-certificat-x509-et-dautorit%C3%A9-de-certification

Répondre

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.