Le Wed, 04 Oct 2000 19:40:42 +0200, tu as ecrit :
>- tu le fais toi m�me
>(avantage: gratis | d�savantage: une alerte va appara�tre d�s qu'on browse
>ton site en https car personne ne certifie que ton certificat appartient �
>toi :-) donc �a risque de ne pas faire s�rieux mais le cryptage fonctionne
>parfaitement !)
Deuxi�me avantage: �a permet d'avoir une petite id�e de comment marche tout
le syst�me, ce qui n'est � mon avis pas n�gligeable si on veut s�rieusement
faire un site en https.
OpenSSL manque encore un peu de doc, mais c'est le couteau suisse des
certificats qui permet de g�n�rer tout ce qu'on veut.
>- tu ach�tes chez verisign ou swisskey
>(avantages: plus d'alertes | d�savantages: c'est cher)
Attention, l'avantage n'est pas vrai pour Swisskey !
Pour la petite histoire, si un certificat ne provoque pas d'alerte dans
Netscape, c'est parce que le certificat de l'autorit� de certification
(verisign p.ex.) est int�gr� d'office dans le browser. Effectivement, �a
fait plus s�rieux. Mais ce n'est qu'une apparence: pour y �tre d'office, ce
n'est pas une question de s�rieux, uniquement d'argent - �a co�te en effet
environ 200'000.- !! Raison pour laquelle Swisskey, qui n'est en fait
encore qu'une startup, n'y est pas.
Et pourtant, SwissKey est beaucoup plus s�rieux que Verisign, car ils ne
d�livrent _aucun_ certificat sans avoir contr�l� en personne l'identit� du
demandeur ou de l'entreprise (je dois passer faire contr�ler la mienne avec
ma carte d'identit� demain), alors que Verisign vend des certificats par
simple email.
Mon avis, c'est qu'il faut se g�n�rer soi-m�me ses certificats, sauf s'il
s'agit d'un site ou l'image de marque est capitale et o� on ne peut pas se
permettre une alerte (et pour lesquels on a de l'argent � jeter). Mais il
ne faut pas oublier
1) Que l'alerte n'est qu'un "Warning" pas trop affolant, et que 90% des
utilisateurs cliquent sur Ok sans la lire enti�rement
2) Que, comme souvent dans ce domaine, l'_apparence_ de la s�curit� semble
malheureusement beaucoup plus importante que la s�curit� elle-m�me.
Ah oui, si vous regardez un par un les certificats reconnus par Netscape,
certains sont valides jusqu'en 2036 ! Il est difficile de traiter de
s�rieux quelqu'un qui fait des projections � si long terme en informatique
et en cryptographie...
Fr�d�ric
--
http://www-internal.alphanet.ch/linux-leman/ avant de poser
une question.
