Nouveau CA gratuit

Posté par  . Modéré par Nÿco.
Étiquettes :
0
6
juil.
2004
Sécurité
L'organisation à but non lucratif CA-Cert a ouvert un Certificate Autority (autorité de certification) gratuit et accessible à tous.
Ils vous proposent :
- certificats de signatures numériques
- certificats pour serveurs

Le CA-Cert est dépendant du CERT Australien. Les certificats de signature ne vous seront pas délivrés dans un premier temps à votre nom. Ils vous seront fournis avec le champ CommonName affecté à « CAcert User Cert ».
Lorsque vous aurez prouvé votre identité auprès du CA-Cert, vous pourrez bénéficier de certificats à votre nom.
Le CA-Cert ne pouvant vérifier directement votre identité ils ont mis en place un système de notation. Ce système fait appel aux utilisateurs déjà authentifiés.

Aller plus loin

  • # Certificat vs. clé PGP ?

    Posté par  . Évalué à 10.

    L'initiative est louable ; pourquoi n'était-ce pas fait avant ? A cause du coût énorme de vérification d'identité.

    La solution ?

    Le CA-Cert ne pouvant vérifier directement votre identité ils ont mis en place un système de notation. Ce système fait appel aux utilisateurs déjà authentifiés.

    Bref, on se rapproche du système GPG...
    (d'accord, c'est pas la même utilisation :un certificat permet d'authentifier un serveur web)

    Il faut faire attention à ce que les certificats -en théorie plus "officiels" que les clés GPG- n'y perdent pas leur crédibilité...
    • [^] # Re: Certificat vs. clé PGP ?

      Posté par  (site web personnel) . Évalué à 10.

      A cause du coût énorme de vérification d'identité.

      Parce que tu crois que verisign vérifie _vraiment_ l'identité des personnes à qui elle délivre des certificats ? J'ai comme un doute.
      • [^] # Re: Certificat vs. clé PGP ?

        Posté par  . Évalué à 10.

        En 2002, Thawte m'avait fait une très bonne impression : appel téléphonique au numéro spécifié sur l'extrait kbis de la société, envoi des documents à signer par fax, etc. Du travail sérieux quoi.

        Maintenant ca a peut être changé depuis le rachat par Verisign.
      • [^] # Re: Certificat vs. clé PGP ?

        Posté par  . Évalué à 3.

        Verisign peut être car ils ont une position qui leur permet de vendre des certificats à un prix élevé. En revanche il y a dans les navigateurs plein de CA qui ne sont pas Verisign et qui ne seront peut être pas nécessairement aussi sérieux.
      • [^] # Re: Certificat vs. clé PGP ?

        Posté par  (site web personnel) . Évalué à 3.

        D'après certains commentaires sur Slashdot, la vérification d'identitié de Verisign n'est effectivement pas très fiable.

        http://slashdot.org/article.pl?sid=04/07/02/0116236(...)

        pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

      • [^] # Re: Certificat vs. clé PGP ?

        Posté par  . Évalué à 2.

        Avec Thawte, la vérification est à mon avis assez sérieuse... voire même chiante. Tout est vérifié, y compris la concordance entre les infos du kbis, les infos de l'annuaire et les info du whois en .fr, mais ils passent aussi des coups de fil... Résultat, pas mal de tracasseries parfois...
    • [^] # Re: Certificat vs. clé PGP ?

      Posté par  . Évalué à 5.

      Il faut faire attention à ce que les certificats -en théorie plus "officiels" que les clés GPG- n'y perdent pas leur crédibilité...

      C'est à chacun d'estimer sa confiance en la CA.
      C'est ça qui est bien avec l'infrastructure de clés publiques X509: un certificat n'est pas crédible/pas crédible dans l'absolu. Celui qui considère que la CA est suffisemment sérieuse considèrera le certificat crédible car il a la preuve que le certificat a bien été signé par cette CA.

      Dans le milieu professionnel dans lequel je travaille on fonctionne plus avec des certificats issus de CA privés (le root étant typiquement l'entreprise, avec des sous-CA pour chaque division) que de CA comme VeriSign. Donc mon certificat n'a à peu près aucun crédit pour quelqu'un qui ne connait pas mon entreprise, mais est totalement sûr pour mes correspondants professionnels, car ils savent que mon entreprise ne signe de certificats qu'à ses employés.

      Je considère un peu cette "CA-Cert" comme une CA communautaire: les membres de cette communauté accorderont la confiance aux certificats qu'elle émet.

      Excusez l'absence d'accents dans mes commentaires, j'habite en Australie et n'ai pas de clavier francais sous la main.

  • # Commentaire supprimé

    Posté par  . Évalué à 5.

    Ce commentaire a été supprimé par l’équipe de modération.

    • [^] # Re: Mettre à jour sa base de certificats ?

      Posté par  . Évalué à 6.

      En effet est ce que cacert.org est digne de confiance ?
      Voire mieux : peut y mettre assez de confiance pour accepter qu'il certifie ses utilisateurs...

      Enfin j'ai regardé dans mon firefox les autorités de certificats par défaut... cacert apparait en ROOT CA et pas en CACERT ;-/

      D'ailleurs petites questions pour ceux qui savent : Qu'est ce qu'il faut pour apparaitre comme 'Autorités' dans les browsers ?
      Je veux dire quels sont les prerequis ?
      Est ce que cacert apparaitra dans une version future de firefox ?


      Apres vous allez penser que je fais du mauvais esprit mais en ce moment un truc qui s'appelle cacer(t) ca me rassure pas !
      ;-)
      • [^] # Re: Mettre à jour sa base de certificats ?

        Posté par  . Évalué à 3.

        Qu'est ce qu'il faut pour apparaitre comme 'Autorités' dans les browsers ?

        Je ne pense pas qu'il y ait de pré-requis...
        Ca doit être du gré à gré : CACERT dit à Firefox (l'équipe Mozilla) "coucou, je suis sympa, j'ai une architecture de sécurité comme ça... Ca vous va ?" Et l'équipe Mozilla a répondu Non à eux, et Oui à d'autres...

        Sans doute Firefox a-t-il intégré les mêmes certificats que IE (c'est une référence de sécurité, non ?) Et ensuite, chaque utilisateur ajoute les certificats qu'il veut... (d'ailleurs, c'est dangereux)

        Je ne pense pas que qui que ce soit ait visité les centres de Verisign & cie, sauf peut-être Microsoft au début de l'histoire d'Internet...
        • [^] # Re: Mettre à jour sa base de certificats ?

          Posté par  . Évalué à 4.

          Je ne pense pas que qui que ce soit ait visité les centres de Verisign & cie, sauf peut-être Microsoft au début de l'histoire d'Internet...

          Microsoft au début de l'histoire d'internet commercial recherchait à lancer MSN comme un réseau propriétaire fermé (un peu comme Compuserve et d'autres) avec comme ambition de "couler" internet au profit de ce réseau.
      • [^] # Re: Mettre à jour sa base de certificats ?

        Posté par  (site web personnel) . Évalué à 10.

        Apparaitre comme Autorité dans les navigateur est une question de notoriété et de confiance (et de responsabilité juridique)

        Pour faire simple, si je me fait voler en allant sur un site web authentifié, je peux d'abbord de me retourner contre le vendeur du Soft pour avoir mis un certif CA non digne de confiance et/ou contre le CA pour abus de confiance.

        Du coup, a mon sens, un CA "colaboratif" n'est absolument pas digne de confiance, je ne peux pas me retourner juridiquement contre lui car je ne sais pas QUI est derriere.
        A l'inverse, si Verisign me fait un coup de pute, je peux facilement me retourner contre eux.

        AMHA, les Etats devraient monter leur structure de CA. Ils le font deja dans la vrai vie, en donnant carte d'identité et passeport. Ca serait idéal pour les certificats de mail par ex ou pour vraiment mettre en place une signature électronique. Ce n'est pas a des prestataire privés de founir les documents papier d'identité, ce n'est pas non plus a eux de founir leur équivalent numérique.

        Pour simplifier, on peut imaginer un CA central (genre ONU) qui certifie les CA nationaux des pays sérieux qui eux meme emettent des documents d'identité.
        Ca ne nuit pas a la souveraineté (les services secrets peuvent continuer a faire des faux de leur pays)

        De meme, les tribunaux de commerce, au meme titre qu'ils donnent des
        Extraits K-Bis, devrait fournir des certificats SSL aux entreprises qui veulent un site sécurisé (ils le font bien pour les démarches administratives et fiscales) et l'état certifierait le CA des tribunaux.

        Le seul probleme est que la théorie néolibérale actuelle s'oposerait a ca (le privé sait mieux le faire) alors que si on pose le probleme en terme de carte d'identité et de K-Bis, on voit bien que c'est faux.
        • [^] # Commentaire supprimé

          Posté par  . Évalué à -3.

          Ce commentaire a été supprimé par l’équipe de modération.

        • [^] # Re: Mettre à jour sa base de certificats ?

          Posté par  . Évalué à 3.

          Pour faire simple, si je me fait voler en allant sur un site web authentifié, je peux d'abbord de me retourner contre le vendeur du Soft pour avoir mis un certif CA non digne de confiance et/ou contre le CA pour abus de confiance.

          Non ça n'a rien à voir. Le but des certificats est de t'assurer que ton "interlocuteur" est bien celui que tu crois et non un infâme pirate qui essaye de te tromper. Par exemple que www.amazon.com est bien le site d'Amazon et non celui d'un sale pirate qui aurait pris le contrôle du DNS de ton fournisseur pour rediriger les requêtes chez lui.

          Si tu es victime d'une telle escroquerie, oui tu pourras te retourner contre l'autorité de certification. En revanche l'autorité de certification n'est en rien responsable de la manière dont un site traite ses clients. C'est peut être ce que tu as voulu dire mais ça ne me semblait pas clair.
        • [^] # Re: Mettre à jour sa base de certificats ?

          Posté par  . Évalué à 2.

          Apparaitre comme Autorité dans les navigateur est une question de notoriété et de confiance (et de responsabilité juridique)

          De ce côté-là, rien à redire.
          Personnellement, je ne pense pas que CaCERT va apparaitre dans la liste des autorités de confiance par défaut de Firefox au risque de priver Firefox du marché des grandes entreprises: comment faire confiance à une organisation sans responsabilité juridique ?

          De plus, je doute que l'hébergement soit aussi sécurisé que d'autre entreprise gérant des certificats racine:
          Prenons l'exemple de Verisign:
          les machines stockant les certificats racine sont calfeutrées dans un bunker avec plusieurs niveaux de sécurité (au moins 5) avec plusieurs sas d'entrée. Remarquez que je dis ça car je tiens l'information d'une personne de Verisign.
          A mon avis, l'OS et les logiciels installés sur ces machines doit aussi être surveillés de très près par une armée de spécialiste.
          Je ne suis pas sûr que la sécurité soit aussi importante pour les certificats racine de CaCert.


          Et n'oublions pas qu'il faut débourser énormément d'argent pour publier son certificat dans les autorités de confiance de IE...
  • # Relecture

    Posté par  . Évalué à 5.

    s/a but/à but
    s/digitales/numériques
    (Sauf si on m'apporte la preuve qu'on est authentifié par ses empreintes digitales.)

    Puis quitte à modifier l'article, ajoutez un « ; » à la fin de cette phrase et un point à la fin de la liste.

    Sur ce, -1.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.