Re: Certificats SSL
Stephane Bortzmeyer a écrit :
> Moui, cela me rappelle les commerciaux de Microsoft disant que leur
> produit est meilleur car il a été choisi par d'avantage de gens que
> Debian.
>
> Combien d'utilisateurs de Windows ou de Word ont choisi, i.e. regardé
> plusieurs possibilités avant de décider ?
>
> De même, combien d'utilisateurs de X.509 ont-ils choisi les autorités
> de certification qui sont dans leur navigateur ? (J'en connais un :
> Randy Bush supprime toujours toutes les CA puis ajoute une par une
> celles qu'il a personnellement évaluées. Qui en fait autant ?)
>
> Mon Iceweasel sur Debian vient avec Türktrust, une autorité de
> certification turque, le gouvernement de Taïwan, et plein d'autres
> boîtes toutes plus inconnues les unes que les autres. Qui les a
> évaluées ?
>
et il reste toujours le fait que c'est le navigateur qui vérifie le
certificat. donc un cheval de Troie et c'est parti...
>> S'ils donnaient leurs certificats à la volée sans aucun controle, on
>> pourrait difficilement leur faire confiance.
>
> Qui vous dit que ce n'est pas le cas ? Qui les a évalués ?
>
voici un cas que j'ai vu:
- ils vérifient que la boite (ou organisation) existe.
- ils appellent au téléphone pour vérifier qu'un responsable est "d'accord"
- ils envoient des mails aux contacts et ils regardent probablement "le
site web".
pour un certificat de base (le nom de l'organisation n'apparait pas dans
le certificat), il n'y a rien à vérifier à part la possession du domaine.
En gros, la seule raison de payer, c'est d'éviter les alertes du
navigateur (et si on veut accepter les utilisateurs d'IE7, on est vite
convaincu de payer...).
Reply to: