______________
Le 14 septembre 2015 18:39, <andre_debian@numericable.fr> a écrit :
On Monday 14 September 2015 18:02:06 Belaïd wrote:
> Expérience il y'a tout juste 1h chez un client, le MUA Mail de Mac OS X a
> râlé sur un certificat auto-signé.
On Monday 14 September 2015 18:20:45 Eric Degenetais wrote:
> En quoi des certificats officiels à 5€ / an seraient-ils plus
> crédibles que les certificats auto-signés ?
> Ça dépend pour qui.
> Oui, j'avais déjà vu un MUA "couiner", et dans la mesure où c'est,
> franchement, le meilleur comportement pour la sécurité, j'avais un peu
> naïvement pris mon cas pour une généralité...
> Attention, ne pas confondre certificat signé bénévolement par une autorité
> qui ne fait pas payer et certificats auto-signés ou signés par une autorité
> installé dans son garage, c'est fort différent.
> Quand vous vous connectez sur un serveur, c'est la signature de son
> certificat par une autorité publiquement connue (et à laquelle on fait
> confiance par un processus social et non technique pour ne pas délivrer
> n'importe quel certificat à n'importe qui) qui permet à l'utilisateur final
> d'être confiant sur le fait qu'il se connecte bien sur le serveur qu'il
> croit contacter.
> Donc gratuit ou payant, ce n'est en aucun cas la question, ce qui compte
> c'est que vous ayez confiance dans l'autorité en question (et confiance
> dans le fait que c'est bien son certificat qui est dans votre truststore,
> ce qui implique de faire confiance à l'éditeur du client mail ou u
> navigateur, et dans votre moyen de distribution des paquets logiciels).
> Avec un auto-signé, le client n' AUCUN moyen de savoir si le certificat est
> bidon ou non (je certifie moi-même que je suis authentique...)
Pour les certificats https, il n'y a pas de demi-mesure,
soit on, le crée et signe soi même => ça couine,
soit on le, crée et fait signer par une autorité de certification,
la résistance du certificat est liée à son prix qui peut monter très haut.
Pour ceux à 5€/an, humm, résistance assez faible pas meilleure
que ceux auto-signés.
Les certificats signés par "cacert.org" ne sont pas acceptés par
les navigateurs (https).
D'où l'idée de "let's encrypt" déjà signalée, sponsorisé par
Mozilla, Cisco et d'autres... Enfin des certificats opensource !
Pour les certificats de mails, comme déjà indiqué, pour être
sûr qu'ils soient acceptés par tous les MUA, ils doivent être
signés par l'autorité de certification "cacert.org", gratuitement :
https://fr.wikipedia.org/wiki/CAcert.org
CAcert.org est une autorité de certification communautaire qui émet des
certificats à clés publiques gratuits. CAcert a plus de 260 000 utilisateurs
vérifiés, et a émis plus d'un million de certificats.
André