Ils vous proposent :
- certificats de signatures numériques
- certificats pour serveurs
Le CA-Cert est dépendant du CERT Australien. Les certificats de signature ne vous seront pas délivrés dans un premier temps à votre nom. Ils vous seront fournis avec le champ CommonName affecté à « CAcert User Cert ».
Lorsque vous aurez prouvé votre identité auprès du CA-Cert, vous pourrez bénéficier de certificats à votre nom.
Le CA-Cert ne pouvant vérifier directement votre identité ils ont mis en place un système de notation. Ce système fait appel aux utilisateurs déjà authentifiés.
Aller plus loin
- CA-Cert (273 clics)
- CA-Cert Assurance Programme (38 clics)
# Certificat vs. clé PGP ?
Posté par charlieecho . Évalué à 10.
La solution ?
Le CA-Cert ne pouvant vérifier directement votre identité ils ont mis en place un système de notation. Ce système fait appel aux utilisateurs déjà authentifiés.
Bref, on se rapproche du système GPG...
(d'accord, c'est pas la même utilisation :un certificat permet d'authentifier un serveur web)
Il faut faire attention à ce que les certificats -en théorie plus "officiels" que les clés GPG- n'y perdent pas leur crédibilité...
[^] # Re: Certificat vs. clé PGP ?
Posté par boubou (site web personnel) . Évalué à 10.
Parce que tu crois que verisign vérifie _vraiment_ l'identité des personnes à qui elle délivre des certificats ? J'ai comme un doute.
[^] # Re: Certificat vs. clé PGP ?
Posté par hex . Évalué à 10.
Maintenant ca a peut être changé depuis le rachat par Verisign.
[^] # Re: Certificat vs. clé PGP ?
Posté par Fabien Penso (site web personnel, Mastodon) . Évalué à 3.
[^] # Re: Certificat vs. clé PGP ?
Posté par gabuzo . Évalué à 3.
[^] # Re: Certificat vs. clé PGP ?
Posté par Krunch (site web personnel) . Évalué à 3.
http://slashdot.org/article.pl?sid=04/07/02/0116236(...)
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: Certificat vs. clé PGP ?
Posté par Olivier G. . Évalué à 2.
[^] # Re: Certificat vs. clé PGP ?
Posté par Eric P. . Évalué à 5.
C'est à chacun d'estimer sa confiance en la CA.
C'est ça qui est bien avec l'infrastructure de clés publiques X509: un certificat n'est pas crédible/pas crédible dans l'absolu. Celui qui considère que la CA est suffisemment sérieuse considèrera le certificat crédible car il a la preuve que le certificat a bien été signé par cette CA.
Dans le milieu professionnel dans lequel je travaille on fonctionne plus avec des certificats issus de CA privés (le root étant typiquement l'entreprise, avec des sous-CA pour chaque division) que de CA comme VeriSign. Donc mon certificat n'a à peu près aucun crédit pour quelqu'un qui ne connait pas mon entreprise, mais est totalement sûr pour mes correspondants professionnels, car ils savent que mon entreprise ne signe de certificats qu'à ses employés.
Je considère un peu cette "CA-Cert" comme une CA communautaire: les membres de cette communauté accorderont la confiance aux certificats qu'elle émet.
Excusez l'absence d'accents dans mes commentaires, j'habite en Australie et n'ai pas de clavier francais sous la main.
# Commentaire supprimé
Posté par Anonyme . Évalué à 5.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: Mettre à jour sa base de certificats ?
Posté par Ju. . Évalué à 6.
Voire mieux : peut y mettre assez de confiance pour accepter qu'il certifie ses utilisateurs...
Enfin j'ai regardé dans mon firefox les autorités de certificats par défaut... cacert apparait en ROOT CA et pas en CACERT ;-/
D'ailleurs petites questions pour ceux qui savent : Qu'est ce qu'il faut pour apparaitre comme 'Autorités' dans les browsers ?
Je veux dire quels sont les prerequis ?
Est ce que cacert apparaitra dans une version future de firefox ?
Apres vous allez penser que je fais du mauvais esprit mais en ce moment un truc qui s'appelle cacer(t) ca me rassure pas !
;-)
[^] # Re: Mettre à jour sa base de certificats ?
Posté par charlieecho . Évalué à 3.
Je ne pense pas qu'il y ait de pré-requis...
Ca doit être du gré à gré : CACERT dit à Firefox (l'équipe Mozilla) "coucou, je suis sympa, j'ai une architecture de sécurité comme ça... Ca vous va ?" Et l'équipe Mozilla a répondu Non à eux, et Oui à d'autres...
Sans doute Firefox a-t-il intégré les mêmes certificats que IE (c'est une référence de sécurité, non ?) Et ensuite, chaque utilisateur ajoute les certificats qu'il veut... (d'ailleurs, c'est dangereux)
Je ne pense pas que qui que ce soit ait visité les centres de Verisign & cie, sauf peut-être Microsoft au début de l'histoire d'Internet...
[^] # Re: Mettre à jour sa base de certificats ?
Posté par gabuzo . Évalué à 4.
Microsoft au début de l'histoire d'internet commercial recherchait à lancer MSN comme un réseau propriétaire fermé (un peu comme Compuserve et d'autres) avec comme ambition de "couler" internet au profit de ce réseau.
[^] # Re: Mettre à jour sa base de certificats ?
Posté par Euclide (site web personnel) . Évalué à 10.
Pour faire simple, si je me fait voler en allant sur un site web authentifié, je peux d'abbord de me retourner contre le vendeur du Soft pour avoir mis un certif CA non digne de confiance et/ou contre le CA pour abus de confiance.
Du coup, a mon sens, un CA "colaboratif" n'est absolument pas digne de confiance, je ne peux pas me retourner juridiquement contre lui car je ne sais pas QUI est derriere.
A l'inverse, si Verisign me fait un coup de pute, je peux facilement me retourner contre eux.
AMHA, les Etats devraient monter leur structure de CA. Ils le font deja dans la vrai vie, en donnant carte d'identité et passeport. Ca serait idéal pour les certificats de mail par ex ou pour vraiment mettre en place une signature électronique. Ce n'est pas a des prestataire privés de founir les documents papier d'identité, ce n'est pas non plus a eux de founir leur équivalent numérique.
Pour simplifier, on peut imaginer un CA central (genre ONU) qui certifie les CA nationaux des pays sérieux qui eux meme emettent des documents d'identité.
Ca ne nuit pas a la souveraineté (les services secrets peuvent continuer a faire des faux de leur pays)
De meme, les tribunaux de commerce, au meme titre qu'ils donnent des
Extraits K-Bis, devrait fournir des certificats SSL aux entreprises qui veulent un site sécurisé (ils le font bien pour les démarches administratives et fiscales) et l'état certifierait le CA des tribunaux.
Le seul probleme est que la théorie néolibérale actuelle s'oposerait a ca (le privé sait mieux le faire) alors que si on pose le probleme en terme de carte d'identité et de K-Bis, on voit bien que c'est faux.
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à -3.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: juste pour dire
Posté par Colin Leroy (site web personnel) . Évalué à 3.
(j'aurais aussi pu dire "C'est juste une putain d'expression", sans pour autant manquer de respect aux prostituées.)
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 2.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: juste pour dire
Posté par Fabimaru (site web personnel) . Évalué à 3.
[^] # Re: Mettre à jour sa base de certificats ?
Posté par gabuzo . Évalué à 3.
Non ça n'a rien à voir. Le but des certificats est de t'assurer que ton "interlocuteur" est bien celui que tu crois et non un infâme pirate qui essaye de te tromper. Par exemple que www.amazon.com est bien le site d'Amazon et non celui d'un sale pirate qui aurait pris le contrôle du DNS de ton fournisseur pour rediriger les requêtes chez lui.
Si tu es victime d'une telle escroquerie, oui tu pourras te retourner contre l'autorité de certification. En revanche l'autorité de certification n'est en rien responsable de la manière dont un site traite ses clients. C'est peut être ce que tu as voulu dire mais ça ne me semblait pas clair.
[^] # Re: Mettre à jour sa base de certificats ?
Posté par Euclide (site web personnel) . Évalué à 2.
Bien sur, si c'est Amazon le voleur, le CA n'y est pour rien.
[^] # Re: Mettre à jour sa base de certificats ?
Posté par Ramoz . Évalué à 2.
De ce côté-là, rien à redire.
Personnellement, je ne pense pas que CaCERT va apparaitre dans la liste des autorités de confiance par défaut de Firefox au risque de priver Firefox du marché des grandes entreprises: comment faire confiance à une organisation sans responsabilité juridique ?
De plus, je doute que l'hébergement soit aussi sécurisé que d'autre entreprise gérant des certificats racine:
Prenons l'exemple de Verisign:
les machines stockant les certificats racine sont calfeutrées dans un bunker avec plusieurs niveaux de sécurité (au moins 5) avec plusieurs sas d'entrée. Remarquez que je dis ça car je tiens l'information d'une personne de Verisign.
A mon avis, l'OS et les logiciels installés sur ces machines doit aussi être surveillés de très près par une armée de spécialiste.
Je ne suis pas sûr que la sécurité soit aussi importante pour les certificats racine de CaCert.
Et n'oublions pas qu'il faut débourser énormément d'argent pour publier son certificat dans les autorités de confiance de IE...
# Relecture
Posté par Ramso . Évalué à 5.
s/digitales/numériques
(Sauf si on m'apporte la preuve qu'on est authentifié par ses empreintes digitales.)
Puis quitte à modifier l'article, ajoutez un « ; » à la fin de cette phrase et un point à la fin de la liste.
Sur ce, -1.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.