On Monday 14 September 2015 18:02:06 Belaïd wrote: > Expérience il y'a tout juste 1h chez un client, le MUA Mail de Mac OS X a > râlé sur un certificat auto-signé.
On Monday 14 September 2015 18:20:45 Eric Degenetais wrote: > En quoi des certificats officiels à 5€ / an seraient-ils plus > crédibles que les certificats auto-signés ? > Ça dépend pour qui. > Oui, j'avais déjà vu un MUA "couiner", et dans la mesure où c'est, > franchement, le meilleur comportement pour la sécurité, j'avais un peu > naïvement pris mon cas pour une généralité... > Attention, ne pas confondre certificat signé bénévolement par une autorité > qui ne fait pas payer et certificats auto-signés ou signés par une autorité > installé dans son garage, c'est fort différent. > Quand vous vous connectez sur un serveur, c'est la signature de son > certificat par une autorité publiquement connue (et à laquelle on fait > confiance par un processus social et non technique pour ne pas délivrer > n'importe quel certificat à n'importe qui) qui permet à l'utilisateur final > d'être confiant sur le fait qu'il se connecte bien sur le serveur qu'il > croit contacter. > Donc gratuit ou payant, ce n'est en aucun cas la question, ce qui compte > c'est que vous ayez confiance dans l'autorité en question (et confiance > dans le fait que c'est bien son certificat qui est dans votre truststore, > ce qui implique de faire confiance à l'éditeur du client mail ou u > navigateur, et dans votre moyen de distribution des paquets logiciels). > Avec un auto-signé, le client n' AUCUN moyen de savoir si le certificat est > bidon ou non (je certifie moi-même que je suis authentique...) Pour les certificats https, il n'y a pas de demi-mesure, soit on, le crée et signe soi même => ça couine, soit on le, crée et fait signer par une autorité de certification, la résistance du certificat est liée à son prix qui peut monter très haut. Pour ceux à 5€/an, humm, résistance assez faible pas meilleure que ceux auto-signés. Les certificats signés par "cacert.org" ne sont pas acceptés par les navigateurs (https). D'où l'idée de "let's encrypt" déjà signalée, sponsorisé par Mozilla, Cisco et d'autres... Enfin des certificats opensource ! Pour les certificats de mails, comme déjà indiqué, pour être sûr qu'ils soient acceptés par tous les MUA, ils doivent être signés par l'autorité de certification "cacert.org", gratuitement : https://fr.wikipedia.org/wiki/CAcert.org CAcert.org est une autorité de certification communautaire qui émet des certificats à clés publiques gratuits. CAcert a plus de 260 000 utilisateurs vérifiés, et a émis plus d'un million de certificats. André
