Le 2017-09-13 12:43, Jonathan Leroy a écrit :
Le 13 septembre 2017 à 11:51, Artur <fr...@pydo.org> a écrit :
Attention tout de même pour Let's Encrypt et l'e-commerce. Let's
Encrypt ne
vérifie PAS l'identité de celui qui crée le certificat. Il n'y a donc
pas de
relation vérifiée entre le déposant et le nom dans le certificat.
Let's Encrypt est très bien quand on a juste besoin de ne pas faire
circuler
les informations en clair sur le réseau et ne pas avoir des messages
d'avertissement du navigateur, mais c'est tout.
Let's Encrypt applique les règles du CA/Browsers Forum, comme tous les
CA.
Donc tu peux acheter un certificat DV ou tu veux, la procédure de
validation sera toujours la même.
Le reste c'est du FUD :)
Après il existe des certificat OV et EV, mais soyons clair : c'est du
bullshit. Même si l'identité du client est vérifiée lors de l'achat du
certificat, ça ne prouve en *rien* que ton navigateur dialogue bien
avec l'entité en question. Leurs serveurs peuvent avoir été piratés,
par exemple.
Il semblerait que la vérification au niveau EV est assez light
https://linuxfr.org/users/zenitram/journaux/ssl-ev-etendue-oui-validation-euh
--
Xavier Claude
cont...@xavierclaude.be
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/
