Merci pour le retour, je m'en doutais un peu à vrai dire, le risque serait trop grand pour eux. C'est un peu comme une mutuelle aux USA quoi :)
Et bien donc, effectivement, autant prendre un certificat LE. Je n'ai personnellement pas encore franchi le cap, par flemme et à cause des cas spéciaux qu'il va falloir gérer (machines sur lesquelles les outils de renouvellement automatique ne vont pas marcher), mais ça va pas tarder. Le 14 sept. 2017 à 10:19, Jonathan Leroy a écrit : > Le 14 septembre 2017 à 09:28, David Ponzone <david.ponz...@gmail.com> a écrit > : >> J'ai peut-être raté une partie de l'échange mais il me semble qu'il a été >> rappelé que les certificats plus coûteux incluent généralement une garantie >> financière plus ou moins importante couvrant le client du site marchand en >> cas de faille dans le certificat. C'est donc une assurance, et comme toute >> assurance, on paie pour dans la majorité des cas ne jamais en avoir besoin, >> ce qui permet de rembourser les rares qui subissent le dommage. > > Sauf que les contrats sont faits de telle façon que l'assurance ne > s'applique jamais, car il te faut > prouver que c'est une faille cryptographique dans le certificat qui a > permis l'incident. Quasi-impossible dans la pratique. > > Mais bon, admettons que tu as dans ta boîte un expert en crypto, qui > arrive effectivement à prouver que le certificat contient une faille > cryptographique. > > Par exemple en découvrant une faille encore inconnue dans OpenSSL. > Paf, le CA utilise une version d'OpenSSL impactée par cette faille et > le certificat qu'il a généré contient effectivement une faille > cryptographique. Tu arrives à prouver je ne sais pas trop comment que > cette faille a été utilisée par des hackers pour voler les mots de > passe de tes clients transitants sur le réseau. À toi le jackpot !! > > Ah ben non. Parce qu'en fait il y a plein d'exclusions dans le contrat > d'assurance, notamment les "circonstances exceptionnelles". Et le CA > te dira qu'une faille d'OpenSSL qui touche des millions de serveurs > ben c'est une circonstance exceptionnelle. Alors oui c'est discutable. > Tu peux aller au tribunal pour toucher ton chèque mais ça va prendre > des années. > > À ma connaissance, aucune des principales AC n'a jamais indemnisé un > client sur la base de l'assurance fournie avec le certificat. > Ça m'a également été confirmé par un ex-employé d'une AC française : > l'assurance n'a jamais indemnisée personne chez eux et tout est fait > pour que ça n'arrive pas. > > -- > Jonathan Leroy. _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
