> Ben si on utilise un tier de confiance, pourquoi le site ne se fait pas signer son certificat par ce tier de confiance pour qu'il ne soit plus autosigné ?
Parce que déclarer "je vois le même certificat que toi" n'a pas la même force et ne demande pas la même infrastructure/sécurité que certifier le site.
> Quel est l'intérêt d'un certificat autosigné puisqu'il ne permet pas de valider l'identité du serveur, et qu'il permet de chiffrer la connexion ... mais on ne sait pas avec qui.
La signature de l'autorité de confiance est un moyen d'identifier le site, pas le seul. On peut passer par une certification "de masse" (on sait que le site est le bon parce que la masse déclare qu'il est le bon). On peut aussi certifier par soi même (ce qui est fait pour la plupart des intranet ou applis persos).
Ces moyens ne sont pas forcément plus mauvais que de faire confiance à Verisign qu'on ne connait pas et dont on ne peut pas contrôler la bonne foi ou l'absence de faille.
> Or c'est assez simple a faire une autorité de confiance, y' a pas de raison que cela coute cher.
qui se lance ?
vas voir cacert.org
Mais ce n'est pas si simple. Il va te falloir une infrastructure de sécurité qui convainque tous les éditeurs de navigateur que ta clef maitresse ne sera pas compromise. Il va aussi te falloir assurer que tu ne certifies que le propriétaire du site et pas n'importe qui.
Ca demande une organisation, une infrastructure, et ça coute des sous.
CaCert n'est toujours pas dans Firefox justement pour ça, ils n'ont pas encore pu prouver par un audit qu'ils apportaient toutes les garanties nécessaires (et pas à cause de questions de monopole ou de non-commercial)
[^] # Re: Certificat auto-signé
Posté par Éric (site web personnel) . En réponse à la dépêche HSTS arrive dans Firefox 4. Évalué à 4.
Parce que déclarer "je vois le même certificat que toi" n'a pas la même force et ne demande pas la même infrastructure/sécurité que certifier le site.
> Quel est l'intérêt d'un certificat autosigné puisqu'il ne permet pas de valider l'identité du serveur, et qu'il permet de chiffrer la connexion ... mais on ne sait pas avec qui.
La signature de l'autorité de confiance est un moyen d'identifier le site, pas le seul. On peut passer par une certification "de masse" (on sait que le site est le bon parce que la masse déclare qu'il est le bon). On peut aussi certifier par soi même (ce qui est fait pour la plupart des intranet ou applis persos).
Ces moyens ne sont pas forcément plus mauvais que de faire confiance à Verisign qu'on ne connait pas et dont on ne peut pas contrôler la bonne foi ou l'absence de faille.
> Or c'est assez simple a faire une autorité de confiance, y' a pas de raison que cela coute cher.
qui se lance ?
vas voir cacert.org
Mais ce n'est pas si simple. Il va te falloir une infrastructure de sécurité qui convainque tous les éditeurs de navigateur que ta clef maitresse ne sera pas compromise. Il va aussi te falloir assurer que tu ne certifies que le propriétaire du site et pas n'importe qui.
Ca demande une organisation, une infrastructure, et ça coute des sous.
CaCert n'est toujours pas dans Firefox justement pour ça, ils n'ont pas encore pu prouver par un audit qu'ils apportaient toutes les garanties nécessaires (et pas à cause de questions de monopole ou de non-commercial)