CAcert certifie gratuitement ... [Certifications] - Linux et OS Alternatifs
Marsh Posté le 18-08-2004 à 17:32:58
Heu, c'est quoi le gain par rapport à faire les certificats soi-même ?
Marsh Posté le 18-08-2004 à 17:40:44
plus d'avis sur la question :
http://linuxfr.org/2004/07/06/16719.html
Marsh Posté le 18-08-2004 à 17:40:53
C'est que quand tu les fait toi même la personne qui se connecte au site n'a aucun moyen de verifier que tu est bien la personne que tu dis que tu es...
C'est pour ça que les certificats doivent être validés par une tierce personne de confiance (verisign par exemple le fait, mais ça coute cher). La CAcert a ce rôle, en gratuit.
Après rien ne t'empeche de t'autocertifier, mais cela ne permet pas à l'utilisateur final (par exemple si tu signe un soft que les gens peuvent downloader via des mirroirs) d'être sur que les informations qui lui paraissent signées sont bien signées par toi et n'ont pas été altérées. De plus un organisme de certification, selon le niveau de certification que tu choisis, peut allez jusqu'à certifier ta clef de signature par rapport à ta carte d'identité et tu es même obligé pour les très haut niveaux de certification de te présenter en personne. C'est essentiel pour tout ce qui est administration électronique par exemple ou pour des documents juridiques dématerialisés.
Marsh Posté le 18-08-2004 à 17:49:34
Et donc personne ne sais si un truc dans le meme genre existe en france ?
En même temps il y a déjà 3 "assureurs" sur Paris, et même 1 en Bretagne !
Le seul inconvenient c'est que les certificats racines de CAcert ne sont pas inclus dans les softs par défaut.
Marsh Posté le 18-08-2004 à 17:59:17
nima a écrit : Le seul inconvenient c'est que les certificats racines de CAcert ne sont pas inclus dans les softs par défaut. |
C'est bien pour ça que je posais la question.
Si personne ne fait confiance par défaut à Cacert, je ne vois pas un énorme gain par rapport à un certificat auto-signé ... Autant que les gens installent le certificat racine de mon entreprise directement.
Marsh Posté le 18-08-2004 à 18:24:02
très bonne question, merci de l'avoir posé... je supose que le certificat racine de CAcert est certifié par un CA aussi genre verisign ou je ne sais lequel... en fait j'arrive pas à trouver l'info. Je leur ai écrit, je vous dirai ce qu'il me répondront...
Marsh Posté le 19-08-2004 à 02:20:36
ba un certificat ca te sert pour pouvoir assurer à ton client qu'il est bien chez toi
maintenant, si tu fais pas de commerce ou si tu n'est pas une banque ....
Marsh Posté le 19-08-2004 à 06:22:51
nima a écrit : C'est que quand tu les fait toi même la personne qui se connecte au site n'a aucun moyen de verifier que tu est bien la personne que tu dis que tu es... |
ils font ça chez debian si tu veux être mainteneur officiel
Marsh Posté le 19-08-2004 à 09:43:18
nima a écrit : CACERT est une asso australienne qui distribue des certificats gratuitement. |
je me connecte sur CAcert et moz me dit que leur certificat a été signé par une autorité inconnue
Marsh Posté le 19-08-2004 à 10:08:47
farib a écrit : je me connecte sur CAcert et moz me dit que leur certificat a été signé par une autorité inconnue |
Oui, bah c'est bien le souci...
En même temps, il faut bien à un moment qu'on fasse confiance à qq'un non ? Même si le certificat racine de CAcert était signé par verisign, celui de verisign est signé par qui ?
CAcert est peut être tout simplement au même niveau que verisign (y'en a d'autres je sais, mais je dis verisign pour simplifier) et sa validité n'est peut être que vérifiable en réèl...
enfin, j'attends leur réponse, je vous tiens au courrant...
Sino, pour être vérifié, ça peut aussi se faire auprès des banques ou avocats apparement, et ça donne directment accès au plus haut niveau de validité CAcert (150pts).
Marsh Posté le 19-08-2004 à 11:16:12
nima a écrit : Oui, bah c'est bien le souci... |
bah non, verisign, toussa, c'est accepté directement par le navigateur sans broncher
Marsh Posté le 19-08-2004 à 11:50:09
certes mais pourquoi je leur ferais plus confiance ? qui a signé leur certifecat ? C'est juste qu'ils ont réussi à s'imposer et à être intégrer dans les browsers, rien de plus... Il faut bien qu'à un moment donné on fasse confiance à quelqu'un sans "preuves" sinon le systeme ne marche pas
Marsh Posté le 19-08-2004 à 12:13:37
the_fireball a écrit : certes mais pourquoi je leur ferais plus confiance ? qui a signé leur certifecat ? |
Parce que Mozilla leur fait confiance, et que tu fais confiance à Mozilla.
Marsh Posté le 19-08-2004 à 13:26:19
farib a écrit : Parce que Mozilla leur fait confiance, et que tu fais confiance à Mozilla. |
Ce n'est pas le rôle des browsers d'être un acteur de confiance !!!! Tu imagine faire confiance à IE !!!!!!!
Marsh Posté le 19-08-2004 à 13:32:44
farib a écrit : Parce que Mozilla leur fait confiance, et que tu fais confiance à Mozilla. |
beau troll mais non, ce n'est pas ça
Marsh Posté le 19-08-2004 à 13:48:47
Alors comment ça marche ? quel est l'acteur de confiance principal ?
Marsh Posté le 19-08-2004 à 13:51:30
nima a écrit : Alors comment ça marche ? quel est l'acteur de confiance principal ? |
George W. Bush ! Mais Bin Laden va tenter la certification aussi !
Marsh Posté le 19-08-2004 à 14:00:03
ouais, bon là c'est gentil de participer, mais ça fait pas avancer les shmilblick.
Marsh Posté le 19-08-2004 à 14:04:24
Ok ok j'ai pas pu m'empêcher, ca fait pas de mal de rigoler un coup... Mais c'est peut-être pas si éloigné que ça de la vérité (sur le principe) car je ne sais pas si Verisign est certifiée en dessus... il me semble qu'il se sont imposé comme une autorité en la matière (c'est un peut la méthode Bush quoi...)
Marsh Posté le 19-08-2004 à 14:44:40
the_fireball a écrit : beau troll mais non, ce n'est pas ça |
au lieu de dire des conneries, va dans les options de mozilla / certificats, et tu as une liste de certificats déja installés et connus de mozilla
le texte y dit " you have certificates on file that identify these certificate authorities" avec toute une liste donc AOL, Verisign, VISA
(entre autres...)
ça c la liste de certificats installés par défaut. Donc, je pense que mozilla fait confiance à ces certificats. Ils l'ont surement pas installé de force dans les browser. T'as qu'a les virer puisque t'as pas confiance
Marsh Posté le 19-08-2004 à 15:21:12
farib a écrit : au lieu de dire des conneries, va dans les options de mozilla / certificats, et tu as une liste de certificats déja installés et connus de mozilla |
Je suis d'accord avec toi. Je pense que si ces certificats sont préinstallés dans Mozilla (et dans d'autres navigateurs), c'est parce qu'ils sont universellement reconnus comme étant des organismes de confiance. Concrètement, leur demander de signer des certificats permet d'obtenir des certificats qui seront acceptés par tous les navigateurs sans manipulation supplémentaire.
Marsh Posté le 19-08-2004 à 15:29:24
[Albator] a écrit : Je suis d'accord avec toi. Je pense que si ces certificats sont préinstallés dans Mozilla (et dans d'autres navigateurs), c'est parce qu'ils sont universellement reconnus comme étant des organismes de confiance. Concrètement, leur demander de signer des certificats permet d'obtenir des certificats qui seront acceptés par tous les navigateurs sans manipulation supplémentaire. |
Voila, ça sert exactement à ça.
Cela dit, Verisign, et *confiance* ça va pas trop ensemble, avec ces enc** de fi** de pu** qui peuvent aller se faire s*d*m*s*r par r*c* s*f*r*d*
Marsh Posté le 19-08-2004 à 15:54:07
[Albator] a écrit : Je suis d'accord avec toi. Je pense que si ces certificats sont préinstallés dans Mozilla (et dans d'autres navigateurs), c'est parce qu'ils sont universellement reconnus comme étant des organismes de confiance. Concrètement, leur demander de signer des certificats permet d'obtenir des certificats qui seront acceptés par tous les navigateurs sans manipulation supplémentaire. |
Ces autorités de certifications payent une petite fortune, il me semble, pour être intégré de base dans les navigateurs. Ensuite les navigateurs ont la possibilité (pas tous) de rajouter et d'enlever les CA
Marsh Posté le 19-08-2004 à 15:54:27
Un cértificat pourrait servir à quoi au juste ? A crypter ou a faire des transactions ? Comment est distribuée le certificat ? Il est basé sur le PGP ?
Marsh Posté le 19-08-2004 à 15:58:19
Oups, j'ai trouvé, donc plus besoin de repondre
http://addy.com/dc/html/what_is_ssl_.html
Marsh Posté le 19-08-2004 à 18:00:01
farib a écrit : au lieu de dire des conneries, va dans les options de mozilla / certificats, et tu as une liste de certificats déja installés et connus de mozilla |
bon boulet, non pas me prendre la tete, lis le reste des postes et renseignes toi... Tu crois qu'ils se sont mis tout seuls dans mozilla sans "forcing" ou paiement ? Qui certifie que Verisign est honnete ? Toute les fameuses autorité racines se sont soit auto signée et autoproclamée de la sorte soit elles sont supportées/sponsorisée par des gouvernements, sinon, en quoi je leur ferais confiance (deja que meme avec ça on peut se poser des questions) ?
Marsh Posté le 19-08-2004 à 18:02:54
the_fireball a écrit : bon boulet, non pas me prendre la tete, lis le reste des postes et renseignes toi... Tu crois qu'ils se sont mis tout seuls dans mozilla sans "forcing" ou paiement ? Qui certifie que Verisign est honnete ? Toute les fameuses autorité racines se sont soit auto signée et autoproclamée de la sorte soit elles sont supportées/sponsorisée par des gouvernements, sinon, en quoi je leur ferais confiance (deja que meme avec ça on peut se poser des questions) ? |
Verisign est certifié honnete à partir du moment ou Mozilla est packagé avec son certificat. C'est pas non plus des acteurs mineurs de l'internet avec les root server qu'ils gèrent.
Les autres postes je les ai lus, et il vont dans mon sens.
Sinon bah refuse le systeme, t'as raison, et va chercher le certificat en rencontrant à la main chaque webmaster
Marsh Posté le 19-08-2004 à 19:11:29
c'est surtout qu'à un moment donné, il est nécessaire de faire confiance à quelqu'un, et que ce quelqu'un est intégré à un ensemble. C'est cet ensemble qui est apres placé dans les browsers afin de vérifier les certifacts, c'est tout.
Je ne refuse rien comme systeme, je dis juste que les CA root, et bien personne n'a signé leur certificat et qu'il faut leur faire confiance aveuglément, c'est tout
Marsh Posté le 19-08-2004 à 19:21:28
the_fireball a écrit : c'est surtout qu'à un moment donné, il est nécessaire de faire confiance à quelqu'un, et que ce quelqu'un est intégré à un ensemble. C'est cet ensemble qui est apres placé dans les browsers afin de vérifier les certifacts, c'est tout. |
t'as quoi comme meilleure idée pour faire signer les certificats des CA root ?
Par qui ? Et le signataire des CA root, qui le signera, lui ?
Marsh Posté le 20-08-2004 à 10:11:12
Ne vous énervez pas, on ne dit pas qu'il faut remettre en cause la sécurité sur internet (quoi que) et qu'il ne faut plus rien acheter en ligne... non, mais simplement que si on se penche sur le sujet, il y à un moment où on arrive devant un mur à force de remonter de certificat en CA et on se retrouve devant un certificat autosigné.
Et dans les cas ou la racine n'est pas incluse dans le navigateur par défaut (bien que même incluse, ce n'est pas pour autant une preuve) comment peut on vérifier la validité du CA autocertifié ? (ex : CAcert, ChamberSign, ...)
Marsh Posté le 20-08-2004 à 10:41:03
Sauf si il existe une methode fiable pour vérifier que la racine importé est valide ...
Pour ChamberSign, j'ai quelques infos que je suis en train de compiler car c'est issu d'un coup de fil chez ChamberSign directement et que c'est français, mais pour CAcert, j'ai aucune info...
Marsh Posté le 20-08-2004 à 15:43:11
oui Jubijub tiens, cadeau :
Salut à tous, j'ai des infos, j'ai eu des infos que je vais essayer de vous retranscrire...
J'ai eu au téléphone une personne de ChamberSign (http://www.chambersign.tm.fr/), un organisme de certification géré par les Chambres de commerce et d'industrie, et je lui ai posé mes questions. Je vous mets ci-dessous l'échange de questions/réponse le plus fidèlement possible :
Question (moi):
J'ai entendu parler de ChamberSign qui est une AC au même titre que CAcert, mais CAcert est gratuit et Australien. Cependant dans les deux cas cela pose le même problème : "comment vérifier la validité de l'AC, et plus particulièrement de son certificat racine ?".
Réponse (ChamberSign):
Pour CS (ChamberSign), cet organisme de certification est agréé par le Ministère de l'économie des finances et de l'industrie (MINEFI) qui est le seul organisme Français capable d'agréer une autorité de certification destinée à produire des certificats pour crypter ou signer des documents destines à l'administration électronique (TVA en ligne par exemple)
On peut trouver la liste des AC agréés pas le MINEFI sur leur site Internet (http://www.minefi.gouv.fr/) dans la rubrique "Accueil > Vie des entreprises > Nouvelles technologies > Référencement de familles de certificats externes".
Pour vérifier la validité d'un certificat racine d'une AC agréée par le MINEFI, il suffit de vérifier que cette AC est agréée et que le certificat n'est pas révoqué.
Question :
Ok, ça c'est pour les AC agréées pas le MINEFI dans le but de signer des activités comme la paie de la TVA en ligne et les activités administratives officielles, mais existe t'il d'autres organismes gouvernementaux pour les AC qui produisent par exemple des certificats pour de la vente en ligne classique ou toute autre service qui nécessite un cryptage ou une authentication ?
Réponse :
Les AC qui distribuent des certificats pour la vente en ligne sont le plus souvent des banques et ont donc l'agrément MINEFI pour les télé procédures administratives. De cet agrément peut découler une confiance pour leur certificat racine, quels que soient le types de certificats qu'ils émettent. Certaines entreprise s'auto-certifient, il ne tient qu'a vous dans ces cas de faire confiance à ces entreprises et il est alors particulièrement important de lire leur politique de certification et de se renseigner sur leur infrastructure de conservation des clés.
Question :
Comment peut on s'assurer que les certificats racines qui sont disponibles sur les sites Internet des AC généralement n'ont pas été détournés ou le site Web piraté ?
Réponse :
Ce qui est mis à disposition du public sur les sites Internet est uniquement la clé publique.
Les AC possèdent la clé privée correspondante et qui sert à générer les certificats pour les entreprises. Cette clef privée est liée mathématiquement à la clé publique et permet de vérifier la validité de cette dernière. De plus les sites proposant des certificats racines sont sous haute surveillance par leur propriétaires, mais aussi par leurs les organismes qui les agréent (le MINEFI contrôle les certificats de ChamberSign par exemple). Il n'est pas impossible qu'ils soient piratés, mais il existe des procédures automatiques de vérification de la validité des certificats racines en utilisant la clé privée. Si un certificat se trouvait altéré, il serait automatiquement restauré voir régénéré après révocation pour éliminer tout risque de mauvaise utilisation. C'est ensuite à l'utilisateur de tenir à jour la liste des révocations de son navigateur. Cela peut se faire automatiquement et les listes sont disponibles chez les AC.
Question :
Qu'en est il pour les certificats délivrés par une AC autre que l'une de celles qui sont agrées par le MINEFI ? Peut on par exemple faire confiance à un certificat racine VeriSign puisque c'est une entreprise privée étrangère ?
Réponse :
Non, si on pousse le raisonnement à bout il n'est pas possible de vérifier cela. Cependant, une CA est aussi digne d'une confiance proportionnelle au nombre d'utilisateurs qui utilisent ses certificats. Ainsi, VeriSign délivre énormément de certificats qu'elle s'est imposée, de fait, comme autorité de certification de confiance. De grosses entreprises comme Microsoft incluent les racines dans leurs navigateurs, et des clients comme le gouvernement Américain utilisent leurs certificats. Cependant, cela n'entraîne pas obligatoirement une confiance dans les certificats que cette entreprise émet. Il faut pour cela lire la PC-Type (Politique de Certification-Type, ex : http://www.minefi.gouv.fr/demateri [...] fi_dsi.pdf ) de l'organisme pour voir si les certificats délivrés sont dignes de confiances. Selon la procédure utilisé pour les délivrer, un certificat se retrouvera classé par niveaux de confiance (classes), on trouve ainsi des classe I, classe II ou classe III ainsi que des certificats délivrés uniquement en ligne appartenant à des classes correspondant à un niveau de confiance très faible.
Voilà, en gros ce que j'ai eu comme infos, si j'en apprends plus un jour je complèterai ça
Si j'ai dit des bêtises, n'hésitez pas à me corriger
En plus :
Une bonne collection d'articles (US) sur les certificats :
http://www.itsecurity.com/asktecs/may2301.htm
Quelques infos juridiques :
http://www.premier-ministre.gouv.fr/fr/p.cfm?ref=22008
Vérifier la révocation d'un certificat par le MINEFI :
http://www.icp.minefi.gouv.fr/
Un exemple d'endroit où télécharger un certificat racine par exemple ici pour VeriSign : https://www.verisign.com/support/site/rootDoc.html
Marsh Posté le 18-08-2004 à 16:32:24
CACERT est une asso australienne qui distribue des certificats gratuitement.
Je pense que ça peut être interressant, j'aimerai prendre un certificats pour les connections ssl sur mon serveur, mais je me demandais si il n'y avait pas la même chose en France. Si vous avez des infos je suis preneur !
Message édité par nima le 18-08-2004 à 16:33:12