[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Modifier la durée de validité d'un certificat TLS...



En quoi des certificats officiels à 5€ / an seraient-ils plus
crédibles que les certificats auto-signés ?

Ça dépend pour qui.
Oui, j'avais déjà vu un MUA "couiner", et dans la mesure où c'est, franchement, le meilleur comportement pour la sécurité, j'avais un peu naïvement pris mon cas pour une généralité...
En quoi des certificats officiels à 5€ / an seraient-ils plus
crédibles que les certificats auto-signés ?

Attention, ne pas confondre certificat signé bénévolement par une autorité qui ne fait pas payer et certificats auto-signés ou signés par une autorité installé dans son garage, c'est fort différent.
Quand vous vous connectez sur un serveur, c'est la signature de son certificat par une autorité publiquement connue (et à laquelle on fait confiance par un processus social et non technique pour ne pas délivrer n'importe quel certificat à n'importe qui) qui permet à l'utilisateur final d'être confiant sur le fait qu'il se connecte bien sur le serveur qu'il croit contacter.
Donc gratuit ou payant, ce n'est en aucun cas la question, ce qui compte c'est que vous ayez confiance dans l'autorité en question (et confiance dans le fait que c'est bien son certificat qui est dans votre truststore, ce qui implique de faire confiance à l'éditeur du client mail ou u navigateur, et dans votre moyen de distribution des paquets logiciels).
Avec un auto-signé, le client n' AUCUN moyen de savoir si le certificat est bidon ou non (je certifie moi-même que je suis authentique...)


______________

Le 14 septembre 2015 17:52, <andre_debian@numericable.fr> a écrit :
On Monday 14 September 2015 16:13:20 Eric Degenetais wrote:
> Il faut quand même savoir que si c'est OK pour le test, accepter les
> certificats auto-signés (ou signés par une autorité non reconnue) diminue
> fortement la sécurité (la connections est chiffrée, mais par contre pour la
> protection contre le man-in-the-middle c'est comme s'il n'y avait pas de
> certificat, attendu que tout le monde peut vous envoyer un certificat
> autosigné ou signé par sa propre autorité...)
> Éric Dégenètais

Déjà la première affirmation change... :-)

Les MUA n'indiquent aucun message de warning.

Dans peu de temps on pourra créer ses propres certificats en ligne,
même pour https, et les faire signer * gratuitement * par un
consortium : https://letsencrypt.org/
acceptés par les navigateurs sans couiner.

En quoi des certificats officiels à 5€ / an seraient-ils plus
crédibles que les certificats auto-signés ?

André





Reply to: