• Une grande partie de la sécurité du Web, et d’ailleurs de plein d’autres chose sur l’Internet, repose sur des certificats où une #Autorité_de_Certification (AC) garantit que vous êtes bien ce que vous prétendez être. Traditionnellement, l’émission d’un certificat se faisait selon un processus manuel, lent et coûteux, à part dans quelques AC automatisées et gratuites comme CAcert. Mais il n’existait pas de mécanisme standard pour cette automatisation. Un tel mécanisme standard existe désormais, avec le protocole #ACME, normalisé dans ce #RFC. Son utilisateur le plus connu est l’AC #Let_s_Encrypt, qui fournit, parmi des millions d’autres sites Web, le certificat de SeenThis.

    https://www.bortzmeyer.org/8555.html


  • Les sites Web auxquels on accède avec un URL commençant par https sont sécurisés avec le protocole TLS. Pour s’assurer de l’authenticité du site, avant de commencer le chiffrement de la session, TLS se repose sur des #certificats, qui sont simplement une la partie publique d’une clé cryptographique plus la signature d’un organisme auquel on doit faire confiance. Dans le format de certificats le plus répandu, #X.509, cet organisme se nomme une #Autorité_de_Certification. Elles sont typiquement chères et n’apportent pas forcément une sécurité géniale (les forces du marché tirent les procédures de vérification vers le bas...) Une alternative est donc d’employer une Autorité de Certification gratuite, fonctionnant de manière simple et totalement automatisée, #CAcert.

    http://www.bortzmeyer.org/cacert.html

    Pour SeenThis, ça serait nettement mieux que son actuel certificat auto-signé reconnu par personne. #SeenThis_TODO

    • Le problème de #Cacert est d’être une #Autorité_de_Certification peu reconnue et souvent absente des navigateurs ou OS courants.

      Un certificat signé par une autorité non reconnue par le navigateur revient au même que de générer son propre certificat.

      Cacert est sur le papier une bonne idée car on certifie via un processus horizontal (entre pairs) et non vertical (l’autorité et son client).

      Si on veut un certificat qui justifie aussi le propriétaire, il faut au moins un niveau 2. Avec cacert il faut être certifié par un certains nombre de pairs et cela n’est pas automatique.

      Pour un site comme linuxfr.org cela ne posera pas un gros problème dans le sens où le public principal est déjà acquis et auront déjà fait le necessaire pour reconnaître Cacert comme autorité de certification.

      Pour un site grand public comme seenthis, #cacert fera aussi peur que le certificat autosigné actuel.
      Surtout que les navigateurs ne reconnaissant par le certificat montreront un beau message effrayant, Firefox le premier.

      Parmi les alternatives peu couteuses on peut voir aussi :
      http://www.namecheap.com/ssl-certificates.aspx
      http://www.startssl.com/?lang=fr

      Dans les 2 cas on va trouver des certificats signés par des autorités reconnues par la plupart ces navigateurs tous OS confondus (smartphones inclus)

      #Starssl a une particularité, assez proche de cacert, vu qu’on certifie l’entité qui gère le domaine et non le domaine directement. Le certificat est valable 2 ans.

      Donc pour éviter de faire peur, pour être pratique, pour être simple aussi bien coté utilisateur que coté admin, Cacert ce n’est pas encore une bonne solution actuellement.