> > Pour les certificats de mails, comme déjà indiqué, pour être > sûr qu'ils soient acceptés par tous les MUA, ils doivent être > signés par l'autorité de certification "cacert.org", gratuitement : > https://fr.wikipedia.org/wiki/CAcert.org > CAcert.org est une autorité de certification communautaire qui émet des > certificats à clés publiques gratuits. CAcert a plus de 260 000 > utilisateurs > vérifiés, et a émis plus d'un million de certificats.
OK, donc on en reste au même principe que les navigateurs: on n'accepte pas les auto-signés, et il faut se faire signer par une autorité reconnue. Que CAcert.org soit reconnue par les clients mail, mais pas par les navigateurs ne change rien au principe: concrètement un navigateur ou un client e-mail est fourni avec un truststore pré-rempli avec des autorités reconnues de confiance. Les utilisateurs font confiance à leur source de logiciel pour vous fournir des clients qui acceptent uniquement des autorités de certification dignes de confiance... Que cacert.org signe gratuitement n'est pas le plus important. Ce qui compte c'est que ce soit une autorité qui est reconnue comme sérieuse. La solidité d'une certificat (AKA choix d'un bon algorithme + longeur de clef) est un problème important mais c'est un AUTRE problème. Pas très différent d'acheter une porte: vous faites confiance au fabriquant pour ne pas vendre des copies de clefs aux autres derrière votre dos. Avoir une porte blindée de 20 cm ne protège en rien si tout le monde peut avoir une copie de la clef. ______________ Éric Dégenètais Henix http://www.henix.com http://www.squashtest.org Le 14 septembre 2015 18:39, <andre_deb...@numericable.fr> a écrit : > On Monday 14 September 2015 18:02:06 Belaïd wrote: > > Expérience il y'a tout juste 1h chez un client, le MUA Mail de Mac OS X a > > râlé sur un certificat auto-signé. > > On Monday 14 September 2015 18:20:45 Eric Degenetais wrote: > > En quoi des certificats officiels à 5€ / an seraient-ils plus > > crédibles que les certificats auto-signés ? > > > Ça dépend pour qui. > > Oui, j'avais déjà vu un MUA "couiner", et dans la mesure où c'est, > > franchement, le meilleur comportement pour la sécurité, j'avais un peu > > naïvement pris mon cas pour une généralité... > > Attention, ne pas confondre certificat signé bénévolement par une > autorité > > qui ne fait pas payer et certificats auto-signés ou signés par une > autorité > > installé dans son garage, c'est fort différent. > > Quand vous vous connectez sur un serveur, c'est la signature de son > > certificat par une autorité publiquement connue (et à laquelle on fait > > confiance par un processus social et non technique pour ne pas délivrer > > n'importe quel certificat à n'importe qui) qui permet à l'utilisateur > final > > d'être confiant sur le fait qu'il se connecte bien sur le serveur qu'il > > croit contacter. > > Donc gratuit ou payant, ce n'est en aucun cas la question, ce qui compte > > c'est que vous ayez confiance dans l'autorité en question (et confiance > > dans le fait que c'est bien son certificat qui est dans votre truststore, > > ce qui implique de faire confiance à l'éditeur du client mail ou u > > navigateur, et dans votre moyen de distribution des paquets logiciels). > > Avec un auto-signé, le client n' AUCUN moyen de savoir si le certificat > est > > bidon ou non (je certifie moi-même que je suis authentique...) > > Pour les certificats https, il n'y a pas de demi-mesure, > soit on, le crée et signe soi même => ça couine, > soit on le, crée et fait signer par une autorité de certification, > la résistance du certificat est liée à son prix qui peut monter très haut. > Pour ceux à 5€/an, humm, résistance assez faible pas meilleure > que ceux auto-signés. > Les certificats signés par "cacert.org" ne sont pas acceptés par > les navigateurs (https). > D'où l'idée de "let's encrypt" déjà signalée, sponsorisé par > Mozilla, Cisco et d'autres... Enfin des certificats opensource ! > > Pour les certificats de mails, comme déjà indiqué, pour être > sûr qu'ils soient acceptés par tous les MUA, ils doivent être > signés par l'autorité de certification "cacert.org", gratuitement : > https://fr.wikipedia.org/wiki/CAcert.org > CAcert.org est une autorité de certification communautaire qui émet des > certificats à clés publiques gratuits. CAcert a plus de 260 000 > utilisateurs > vérifiés, et a émis plus d'un million de certificats. > > André > >
