[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Certificats RGS**



Quand je génère des clefs ssh / gnupg / x509 j'ai besoin de personne et c'est gratuit. La confiance se fait par vérification et certification entre utilisateurs et infra. Je chiffres mes mails avec certains correspondants sur ce principe depuis pas mal d'années. CACert le faisait aussi à une échelle plus globale mais on leur a cassé les pattes.

240€ / 3 ans n'est en rien justifié pour une commande shell qui se lance en 5 sec, ok la vérification de visu peu avoir un coût mais c'est cher quoi qu'il arrive. Et clairement refaire la vérification tous les 3 ans alors que les gens changent de boites quasiment dans ce laps de temps là, c'est laisser trainer des clefs valides, donc pas viable.

Ce n'est pas pour rien que les x509 Letsencrypt sont sur 3 mois et que même en payant on ne peut plus dépasser 1 an de validité alors qu'il y a pas si longtemps on pouvait commander un certificat wildcard valable 10 ans.

Bref pour moi ça n’acquiesce en rien la sécurité de la procédure et quand je vois deux de mes clients qui sont soumis au RGS et eiDAS c'est tout autant troué aussi bien en usage, ils se passent les clefs pour pas en acheter plusieurs, et pour fournir des services sécurisés ils bypassent la norme en prod et quand l'audit vient ils corrigent juste pour l'audit en cassant la prod pour que ça passe...

Le 15/02/2022 à 16:13, mathieu.rossi@r4m.fr a écrit :
Coût de la production de la carte d'identité: gratuit, OK. Mais coût et fiabilité de la vérification? Combien d'entreprises frauduleuses se sont déclarées et ont escroqué particuliers et collectivités depuis qu'il est possible de créer avec des CNI envoyées en ligne?
En revanche, "payant mais valable 10 ans", ce serait bien (moi ça me coûte 240€ tous les 3 ans) - mais comment vérifier que 10 ans après les conditions sont toujours remplies (pour 3 ans le problème théorique est le même, je l'accorde, juste le délai est plus court).
Bon, rien n'est simple sur le sujet 😊

Mathieu ROSSI
Tél. 06 80 95 66 82

-----Message d'origine-----
De : ajh-valmer <ajh.valmer@free.fr> 
Envoyé : mardi 15 février 2022 15:43
À : debian-user-french@lists.debian.org
Objet : Re: Certificats RGS**

On Tuesday 15 February 2022 14:47:15 mathieu.rossi@r4m.fr wrote:
« devoir payer pour prouver qui on est » : on paie bien ses cartes 
d’identité ou passeports… Le débat est infini – et si on ne payait 
pas, la garantie serait prise sur nos impôts, donc d’une façon ou l’autre…  :
Mathieu ROSSI
Humm, humm...
D'abord, la carte d'identité est gratuite et valable 10 ans.
Le passeport on le paye une fois et il est valable 10 ans.
Alors à quand un Certificat RGS payant mais valable 10 années ?

De : Wallace <wallace@morkitu.org>
C'est une aberration de devoir payer pour prouver qui on est... 
que ça soit physique ou personne morale :
Je suis bien d'accord, c'est une taxe de plus qui décourage les entrepreneurs et beaucoup de monde !



Reply to: