Le 13 septembre 2017 à 14:36, Artur <fr...@pydo.org> a écrit : > LE ne fera jamais gratuitement quelque chose qui nécessite du temps > humain et qui ne peut pas être automatisé.
Aussi. C'est pour ça que j'ai mis "(parmi d'autres)". > Et ce n'est pas parce que Mme Michu ne comprend rien à Internet qu'on > doit tout niveler par le bas. A ce que je sache il n'y a pas que des Mme > Michu qui utilisent Internet. L'EV a été crée pour le grand public justement. Les techs, eux, peuvent aller farfouiller dans les menus de leur navigateur pour vérifier les données du certificat. Le problème est que le but n'est pas atteint, puisque les gens lambda ne font pas la différence entre EV et non-EV. Donc ça ne sert à rien. D'où sa disparition prochaine de Chrome. > Mme Michu aurait pu écrire ton dernier paragraphe, d'ailleurs. :) > La différence entre les différents certificats consiste essentiellement > dans les vérifications qui sont faites avant que celui-ci ne soit > fabriqué/délivré... ou pas. C'est du temps passé et ça a un cout, oui. > De toute manière ce n'est pas un sysadmin qui doit choisir quoi mettre > comme certificat, c'est celui qui est responsable d'une plateforme > d'e-commerce selon ses propres préoccupations et celles de ses clients. On est bien d'accord sur le fait que la validation humaine prends du temps et coûte donc de l'argent, qui justifie donc le coût d'un certificat OV/EV sur le papier. Ce que je dis, c'est que SSL n'est pas fait pour ça. Un certificat sert à sécuriser une connexion, pas à certifier l'identité de la personne au bout du fil. Donc vendre des certificats OV/EV, ça n'a aucun sens dans 99 % des cas. Mais c'est pourtant ce qui est mis en avant par la plupart des CA, car c'est ce qui leur rapporte le plus. À grand coups de bullshit marketing, donc. Et je ne parle même pas des "assurances" dont personne n'a jamais vu la couleur. En gros pour toucher le pactole en cas de hack, il te faut prouver que c'est une faille cryptographique dans le certificat qui l'a permis. Cas hautement improbable et dans tous les cas impossible à prouver. -- Jonathan Leroy. _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
