En quoi des certificats officiels à 5€ / an seraient-ils pluscrédibles que les certificats auto-signés ?
Ça dépend pour qui.
Oui, j'avais déjà vu un MUA "couiner", et dans la mesure où c'est, franchement, le meilleur comportement pour la sécurité, j'avais un peu naïvement pris mon cas pour une généralité...
En quoi des certificats officiels à 5€ / an seraient-ils plus
crédibles que les certificats auto-signés ?
Attention, ne pas confondre certificat signé bénévolement par une autorité qui ne fait pas payer et certificats auto-signés ou signés par une autorité installé dans son garage, c'est fort différent.
Quand vous vous connectez sur un serveur, c'est la signature de son certificat par une autorité publiquement connue (et à laquelle on fait confiance par un processus social et non technique pour ne pas délivrer n'importe quel certificat à n'importe qui) qui permet à l'utilisateur final d'être confiant sur le fait qu'il se connecte bien sur le serveur qu'il croit contacter.
Donc gratuit ou payant, ce n'est en aucun cas la question, ce qui compte c'est que vous ayez confiance dans l'autorité en question (et confiance dans le fait que c'est bien son certificat qui est dans votre truststore, ce qui implique de faire confiance à l'éditeur du client mail ou u navigateur, et dans votre moyen de distribution des paquets logiciels).
Avec un auto-signé, le client n' AUCUN moyen de savoir si le certificat est bidon ou non (je certifie moi-même que je suis authentique...)